암호화폐 자산 도난 사례 연구 – 악의적인 승인

WEB3 세계에서는 보안이 항상 모두에게 가장 큰 관심사입니다. 자산을 더 잘 보호하기 위해서는 안전한 도구를 선택하는 것 외에도 우리 자신의 보안 인식과 사용 습관이 더 중요합니다.

체인 상의 이체 작업은 되돌릴 수 없습니다. 누군가가 수수료를 지불하면 회수할 수 있다고 말한다면, 그것은 확실히 거짓말입니다.

자산이 도난당하는 경우 일반적으로 두 가지 이유가 있습니다. 개인 키가 유출된 경우나 주소가 악의적인 승인을 받은 경우입니다.

악의적인 승인에 대한 사례로는 이체 페이지를 위장한 악의적인 승인이 있습니다.

주디는 얼마 동안 암호화폐와 접촉하고 있으며 일부 친구들도 만났습니다. 어느 날, 그녀의 친구가 연락하여 시장 가격보다 높은 가격으로 그녀의 USDT 토큰을 구매하고자 한다고 말했습니다. 이 친구는 먼저 작은 거래를 하고, 주디에게 먼저 지불하여 신뢰를 얻으려고 했습니다. 그런 다음 주디에게 QR 코드를 제공하고, 주디가 스캔하여 이체하도록 안내했습니다.

(스캔된 것이 지갑 주소가 아닌 경우 팝업 창이 알림을 표시하므로 주의해서 읽으세요)

QR 코드는 사기꾼이 조작하여 이체 페이지처럼 보이도록 신중하게 제작한 URL로 연결됩니다. 주디가 서명 작업을 수행하기만 하면, 악의적인 승인이 이루어집니다. 작은 금액이었고 지불이 받아졌으므로 주디는 크게 의심하지 않고 사기꾼의 안내에 따라 첫 번째 거래를 완료했습니다.

(아래의 빨간색으로 표시된 알림에 주의하세요)

몇 일 후, 사기꾼이 다시 주디에게 연락하여 대량 거래를 하려고 합니다. 주디가 토큰을 그의 지갑 주소로 이체할 때, 며칠 전 서명 작업 중 주소가 악의적인 승인을 받았기 때문에 토큰이 즉시 비밀리에 전송되었습니다. 이제 주디는 더 이상 사기꾼에게 연락할 수 없습니다.

Math Wallet의 2022 보안 가이드

MathWallet은 다양한 차원의 보안 알림을 지원합니다.

  • URL 블랙리스트의 차단 기능
  • BNBChain 계약의 보안에 대한 점수 기능
  • TOKEN 또는 NFT 승인 서명에 대한 알림 기능
  • EVM 공개 체인의 승인 관리 기능 등

WEB3 세계에서 보안은 항상 모두에게 가장 중요한 관심사입니다. 자산을 보다 잘 보호하기 위해서는 안전한 도구를 선택하는 것 외에도 우리 자신의 보안 인식과 사용 습관이 더 중요합니다.

MathWallet에서 보안 알림과 관련된 기능들은 다음과 같습니다.

URL 블랙리스트의 차단 기능

URL을 방문할 때 빈 페이지가 나타나면, 보고된 사이트를 방문하려고 한 것으로 추정되며, 사기를 피하기 위해 경계해야 합니다.

(위험한 URL을 신고해 주시면, 확인 후 우리의 앱 브라우저 페이지에서 차단할 것입니다.)

BNBChain 계약의 보안에 대한 점수 기능

계약과 관련된 작업을 수행할 때, 이 위치에서 점수를 볼 수 있습니다. 이것은 AvengerDAO의 Meter 시스템으로, BNBChain 계약 보안의 점수 기능을 실현할 수 있습니다.

AvengerDAO는 BNB Chain에서 가능한 악용, 사기 및 악의적인 행위로부터 사용자를 보호하기 위해 설계된 독특한 커뮤니티 주도의 보안 인프라 프로젝트입니다.

우리는 AvengerDAO의 일부가 되어 영광이며, Web3에서 사용자 경험을 보다 안전하고 즐거운 것으로 만들기 위한 결연한 약속을 이어가고 있습니다.

https://www.bnbchain.org/en/blog/introducing-avengerdao-the-security-initiative-protecting-users-from-malicious-actors/

TOKEN 또는 NFT 승인 서명에 대한 알림 기능

계약과 관련된 작업을 수행할 때, 이 위치에서 알림을 본다면, 이는 승인 서명임을 의미하며, 대상 주소가 귀하의 동의 없이 승인 자산을 이전할 수 있는 권한을 갖게 됩니다. 따라서 경계를 기울이고 진행하기 전에 안전을 보장해야 합니다.

(이 알림 기능은 일부 승인 서명을 식별할 수 있으며, 단순히 알림 역할을 합니다. 어떤 작업을 수행할 때에는 여러 번 확인하여 자산의 안전을 확보해야 합니다.)

EVM 공개 체인의 승인 관리 기능

MathWallet APP의 지갑 페이지에서 오른쪽 상단의 버튼을 클릭하고 팝업 목록에서 “승인” 버튼을 클릭합니다.

이렇게 하면 승인 관리를 지원하는 타사 DAPP인 REVOKE로 이동합니다.

이 DAPP을 통해 지갑 주소의 온체인 승인 상태를 확인하고 언제든지 철회할 수 있습니다. 이 DAPP은 모든 EVM 공개 체인을 지원합니다.

보다 안전한 인식을 높이기 위해 사기꾼들이 사용하는 일반적인 방법에 대해 알아볼 수 있습니다.

(도난의 일반적인 이유: 1. 개인 키 유출; 2. 계약 승인)

일부 사례들

Case 1: 사기 웹사이트가 개인 키를 도용하는 경우

AA는 처음으로 WEB3 세계에 진입하는 새로운 사용자입니다. 사기꾼은 특별 할인 상품을 특정 플랫폼에 올리고 AA와 거래합니다. AA에게 사기 웹사이트를 제공하고, 해적 앱을 다운로드하도록 안내하여 개인 키를 사기로 얻습니다. 그런 다음 사기꾼은 AA의 자산을 이체합니다.

MathWallet의 유일한 공식 웹사이트를 기억하세요:
mathwallet.org

Case 2: 사기 DApp과 악의적인 승인

BB는 WEB3 세계에 어느 정도 잘 알고 있는 사용자로, 지갑의 기본 기능을 일부 이해하고 있습니다.

어떤 소셜 플랫폼을 통해 BB는 알 수 없는 DApp에 대해 알게 되었습니다. 이 DApp으로 수익을 창출할 수 있다는 말을 듣고, 다른 사람들의 지침에 따라 상호 작용합니다. 그 과정 중 한 번의 서명이 악의적인 승인으로 이루어집니다. 결과적으로, BB의 지갑 계정의 토큰 중 하나가 BB의 동의 없이 비밀리에 전송됩니다.

악의적인 승인이란: https://kr.mathwallet.org/?p=143

Case 3: 이체 페이지를 위장한 악의적인 승인

CC는 다른 사람과 거래 중인데, 이 사람이 사기꾼임을 알지 못합니다. 사기꾼은 CC에게 토큰을 전송하기 위해 QR 코드를 제공하고 스캔하도록 안내합니다. QR 코드는 웹사이트로 이동하며, 사기꾼은 이를 전송 페이지로 정교하게 조작합니다. CC가 서명 작업을 수행하기만 하면, CC는 악의적인 승인을 당하게 됩니다. 그 결과, CC의 지갑 계정의 토큰 중 하나가 동의 없이 비밀리에 전송됩니다.

(Tip: MathWallet 앱을 사용할 때, 지갑 토큰 전송 페이지의 QR 코드를 스캔하세요. QR 코드가 지갑 주소가 아닌 링크인 경우, 앱에서 링크 주소 세부 정보를 알려주는 팝업 창이 표시됩니다.)
다른 사례가 있다면, 알려주시면 더 많은 사람들이 사기를 방지하고자 할 수 있습니다.

안전에 대한 인식을 높이고 좋은 사용 습관을 기르는 것이 중요합니다.

WEB3 세계에서는 항상 보안이 최우선입니다.

기억하세요:

  • 니모닉 단어와 개인 키를 보관하고 다른 사람에게 전송하지 마세요.
  • 니모닉 단어와 개인 키가 인터넷에 노출되지 않도록 주의하세요.
  • 낯선 사람이 제공한 링크를 클릭하지 마세요.
  • 익숙하지 않은 타사 DApp을 사용하지 마세요.
  • 체인 상의 작업을 수행할 때 서명 내용을 두 번 확인하세요.
  • 지갑 주소의 체인 상 승인을 정기적으로 확인하세요.

더 알고 싶다면, 이전의 보안 관련 기사를 읽어볼 수 있습니다:

Math Wallet의 보안 가이드

사기 DApp을 신고하는 방법은 무엇인가요?

사용자 안내서: Discord/Telegram 커뮤니티에서 사기를 예방하는 방법

위험한 승인에 대한 주의

10가지 MathWallet 안전 팁

MathWallet의 유일한 공식 웹사이트는 mathwallet.org 입니다.

사기 DApp을 신고하는 방법은 무엇인가요?

Math Wallet는 개방형 플랫폼이지만, 모든 DApp 페이지는 여전히 중앙집중화되어 있어서 우리가 제3자 DApp의 악성 변경을 제어할 수 없습니다. 이러한 DApp에 대해 Math Wallet은 보고 기능을 포함한 보안 시스템을 도입했습니다. 사용자는 악성 DApp을 신고할 수 있습니다.

악성 DApp을 신고하는 방법은 다음과 같습니다:

DApp의 우측 상단을 클릭하고 “신고”를 선택하세요.

문제의 세부 내용을 신고하세요.

잠재적인 위험이 있는 DApp은 표시됩니다.

확인된 후, Math Wallet은 사기 DApp을 제거할 것입니다.

Math Wallet의 보안 가이드

여기에는 Math Wallet 보안 팀이 요약한 최근 암호화폐 지갑 보안 사례 몇 가지가 있습니다. 이를 통해 사기로부터 예방하는 데 도움이 되기를 바랍니다.

일반적인 보안 문제

1. 백업 보안

먼저 지갑 백업 과정이 안전한지 확인해야 합니다.

백업 과정에 대해서는 지갑을 백업하는 방법은 어떻게 되나요?

종이에 내용을 정확히 기록하거나 안전한 오프라인 파일에 백업하고 주변에 다른 사람이나 카메라가 없는지 확인하세요. 이 백업은 지갑을 복원하는 유일한 방법이므로 안전한 장소에 보관하세요.

2. 가짜 Math Wallet 공식 직원으로부터 서비스 수수료와 지갑 키를 사칭하여 사기

텔레그램, 위챗 등의 소셜 플랫폼에서 일부 사기꾼들이 Math Wallet 공식 직원인 척하며 사용자의 개인 키를 요구하거나 문제 해결을 도와주는 이름으로 피싱 웹 URL을 전송합니다.
다시 한 번 알립니다: !!! Math Wallet의 공식 직원은 어떤 이유로든 사용자의 개인 보안 정보인 개인 키나 니모닉을 요구하지 않습니다. 자세한 내용은 사용자 안내서: Discord/Telegram 커뮤니티에서 사기를 예방하는 방법

3. ROI DApp 및 토큰

일부 ROI/MLM 프로젝트들은 Math Wallet과 협력 관계가 있다고 사용자를 오도하고 있습니다.

이러한 프로젝트는 사용자의 개인 키를 요구하지는 않지만, 그들의 토큰은 가치가 없으며 쉽게 붕괴되어 큰 자산 손실을 초래할 수 있습니다.

Math Wallet은 이와 관련된 어떤 프로젝트와도 협력한 적이 없습니다. Math Wallet은 탈중앙화된 지갑이며, Math Wallet DApp 브라우저를 통해 DApp에 접근할 수 있다고 해도 Math Wallet과의 협력 관계를 의미하지 않습니다. 피라미드 기반 토큰의 높은 수익과 거짓된 선전에 현혹되지 마세요!

4. 애플리케이션 코드의 악성 수정

Math Wallet은 각 DApp을 검토하지만, DApp의 업데이트는 제어할 수 없습니다. 악성 DApp 중 일부는 인출 버튼을 개발자의 개인 받는 주소로 변경하여 사용자를 속여 돈을 이체하도록 합니다. Math Wallet은 이와 같은 DApp을 발견하면 즉시 제거합니다. 비밀번호 입력 시 해당 작업 내용을 신중히 확인하세요.

5. 악성 승인

DApp에서의 승인 요청은 다른 계정(일반 개인 계정이나 계약 계정)이 사용자의 허락 없이 자산을 제어할 수 있도록 허용하는 것입니다. 승인은 매우 위험한 조치입니다. 자세한 내용은 위험한 승인에 대한 주의 참고하세요.

어떻게 예방할까요?

  • 니모닉, 키스토어 또는 개인 키를 아무에게도 공개하지 마세요, 심지어 “공식 인”이라고 소개되는 사람에게도 공개하지 마세요.
  • 니모닉, 키스토어 또는 개인 키를 제3자 웹사이트나 도구에 입력하지 마세요.
  • Math Wallet의 공식 웹사이트는 다음과 같습니다: https://mathwallet.org
  • 공식 지원 이메일: hello@mathwallet.org
  • 피라미드 제도의 높은 수익이나 거짓된 선전에 속지 마세요!
  • 비밀번호를 요구하는 작업의 내용을 확인하세요.
  • 10가지 MathWallet 안전 팁

문제가 있는 앱을 발견하면 우측 상단을 클릭하여 신고하세요. Math Wallet 보안 팀이 가능한 빨리 답변드리고, 해당 앱을 검토하여 위험한 앱으로 표시하여 다른 사용자에게 경고합니다.

사용자 안내서: Discord/Telegram 커뮤니티에서 사기를 예방하는 방법

사용자들의 사기 방지를 위해 다양한 보호 메커니즘을 설정했음에도 불구하고, 우리는 사용자들이 사기에 처한 경우에 대한 상세한 사용자 경험을 나열하여 모든 사용자들이 자산과 개인 정보가 도난당하는 것을 방지할 수 있도록 돕고자 합니다.

시나리오:

사용자 A는 클라우드 지갑에 문제가 발생하여 그룹에서 도움을 요청했습니다. 곧 그 이후에 “Rainie Math Wallet”라는 계정이 그에게 연락했습니다.

사용자 A는 이름과 프로필 사진을 확인하고 이 계정이 MathWallet의 관리자와 같다고 알고 이 계정과 대화를 시작했습니다. 계정 소유자는 링크를 보내고 불만 조사를 요청했습니다.

곧 사용자 A는 링크를 열었고, 이는 설문 조사였습니다. 인터페이스 디자인은 수상한 면이 있었지만, 질문이 5개로 매우 짧은 설문 조사였습니다.

문제를 해결하기 위해 급하게 조치를 취해야 했기 때문에 사용자 A는 두 번째 생각 없이 응답했습니다.

마지막 질문까지 응답한 후에야, 사용자 A는 질문 조사가 지갑의 니모닉 구절과 복구 시드와 같은 매우 개인적인 계정 안전과 관련된 정보를 요구하고 있다는 점에 의문을 품게 되었습니다. 심지어 MathWallet의 공식 직원에게도 말이죠… 그래서 사용자 A는 의문을 제기하고 다음과 같은 답변을 받았습니다.

즉, 여전히 지갑의 니모닉 구절을 제출해야 한다는 뜻입니다. 그래서 사용자 A는 전화번호나 휴대폰으로 인증 코드를 받는 등 다른 인증 방법이 있는지 물어보려고 시도했습니다.

그러나 “관리자”는 매우 고집스럽게도 니모닉 구절이나 복구 시드를 제출하라고 요구했습니다.

또한 “관리자”는 MathWallet 직원임을 증명하기 위해 모자이크 효과가 있는 사진을 보냈지만, 이 사진은 그가 직원이 아님을 입증했습니다!

사용자 A는 모자이크 효과에 대해 의심을 품고 공식 텔레그램 그룹에서 해당 계정 이름을 검색했습니다.

그룹 관리자의 마지막 접속 시간은 그녀와 대화한 “관리자”와 완전히 다른 것이었습니다. 따라서 이 계정 소유자가 가짜 관리자임이 입증되었습니다.

자신의 개인 정보가 도난당하는 것을 방지하기 위한 4가지 방법은 다음과 같습니다:

  1. 니모닉 구절, 복구 시드 및 개인 키는 다른 사람과 공유해서는 안 됩니다!

이러한 정보의 소유권은 계정의 자산 소유권과 동등합니다!

  1. 채팅 상자의 링크를 클릭하지 마세요!

공식 직원은 정보를 입력하도록 요구하지 않습니다.

  1. MathWallet 직원을 주장하는 사람들에게 자산/토큰을 이전하지 마세요!

이름과 프로필 사진이 동일사용자들이 사기에 처한 경우에 대한 자세한 사용자 경험을 공유하여 모든 사용자들이 자산과 개인 정보를 도난당하는 것으로부터 보호할 수 있도록 돕기 위해 다음과 같은 시나리오를 제시합니다:

사용자 A는 클라우드 지갑에 문제가 발생하여 그룹에서 도움을 요청했습니다. 그 후 “Rainie Math Wallet”라는 계정이 그에게 연락했습니다.

사용자 A는 계정의 이름과 프로필 사진을 확인하고 MathWallet의 관리자와 유사하다고 판단하여 이 계정과 대화를 시작했습니다. 계정 소유자는 사용자 A에게 링크를 보내고 불만 조사를 요청했습니다.

사용자 A는 링크를 열었고, 그 안에는 의심스러운 인터페이스 디자인을 가진 간단한 5개 질문으로 이루어진 설문 조사가 있었습니다.

시간이 촉박하여 문제를 해결하기 위해 사용자 A는 의심 없이 설문 조사에 참여했습니다.

마지막 질문에서 사용자 A는 계정의 안전과 관련된 매우 개인적인 정보인 니모닉 구절과 복구 시드를 제공해야 한다는 점에 의문을 품었습니다. 이러한 정보는 MathWallet의 공식 직원에게도 제공해서는 안 되는 정보입니다. 사용자 A는 의문을 제기하고 다음과 같은 답변을 받았습니다:

결국 사용자 A는 자신의 지갑 니모닉 구절을 제출해야 한다는 답변을 받았습니다. 이에 사용자 A는 휴대폰 번호나 인증 코드를 받는 등 다른 인증 방법이 있는지 물어보았지만, “관리자”는 계속해서 니모닉 구절이나 복구 시드를 요구했습니다.

또한 “관리자”는 MathWallet 직원임을 증명하기 위해 모자이크 효과가 있는 사진을 보냈지만, 이 사진은 그가 직원이 아님을 입증했습니다.

사용자 A는 모자이크 효과에 대한 의심을 품고 공식 텔레그램 그룹에서 해당 계정 이름을 검색했습니다. 그룹 관리자의 마지막 접속 시간은 사용자 A와 대화한 “관리자”의 접속 시간과 완전히 다른 것으로 나타났습니다. 이로써 해당 계정 소유자가 가짜 관리자임이 입증되었습니다.

다음은 개인 정보가 도난당하는 것을 방지하기 위한 4가지 방법입니다:

  1. 니모닉 구절, 복구 시드 및 개인 키는 다른 사람과 공유해서는 안 됩니다. 이 정보는 자산 소유권과 동등한 중요한 정보입니다.
  2. 채팅 상자에서 제공되는 링크를 클릭하지 마세요. 공식 직원은 정보 입력을 위해 링크를 요청하지 않습니다.
  3. MathWallet 직원을 주장하는 사람들에게 자산이나 토큰을 이전하지 마세요. 이름과 프로필 사진이 동일하더라도 그들이 실제로 MathWallet 직원인 것은 아닐 수 있습니다.
  4. 공식 직원은 사용자에게 개인 메시지로 먼저 연락하지 않습니다. 특별한 문제가 있더라