최근 CertiK는 "2022 Web3.0 산업 보안 보고서"라고 보고서에서 우리는 2022년이 디지털 자산 산업 전체에 어려운 한 해가 될 것이라고 볼 수 있습니다.

악의적인 행위자는 2022년에 Web 3.0 프로토콜에서 37억 달러 이상의 자산을 훔쳤으며, 이는 2021년 손실액 13억 달러에서 189% 증가한 수치입니다.

이러한 자산의 대부분은 피싱 공격의 개인 키 유출이나 스마트 계약의 취약성으로 인해 도난당했지만 상당한 양의 자금이 디지털 통화 지갑에서 도난당했습니다.

이러한 지갑 사건은 Fenbushi Capital의 Bo Shen과 같은 개인 사용자에게 영향을 미쳤을 뿐만 아니라 4,200만 달러의 디지털 통화 자산이 도난당했으며 Slope 및 Bitkeep 지갑 사건과 같이 9,000명 이상이 영향을 받은 다수의 사용자 그룹에도 영향을 미쳤습니다. 사용자 계정.

그러나 이러한 취약점 중 일부는 지갑 보안 평가에서 찾을 수 있기 때문에 피할 수 있었습니다.

CertiK는 지난 몇 년 동안 수백 개의 지갑 애플리케이션을 보호했습니다.

이 기사에서는 2022년 디지털 화폐 지갑과 관련된 주요 보안 사건을 다시 살펴보고 기술적 세부 사항을 살펴보겠습니다.

첫 번째 레벨 제목

보조 제목

슬로프 지갑

2022년 가장 유명하고 영향력 있는 암호화폐 지갑 보안 사건은슬로프 지갑개인 키의 부적절한 취급.

Slope Wallet은 iOS 및 Android, Chrome 브라우저 확장을 위한 비수탁형 디지털 통화 지갑입니다.

여러 블록체인을 지원하지만 주로 솔라나 블록체인에서 활성화됩니다.

2022년 8월 2일 밤, 약 4시간 동안 9,231명의 사용자 지갑 주소에서 약 410만 달러 상당의 자산이 도난당했습니다.

사건 발생 첫 몇 시간 동안 근본 원인을 알 수 없었을 때 사용자들은 당황했고 솔라나 블록체인 해킹에 대한 소문이 들불처럼 퍼지기 시작했습니다.

공격이 있은 지 몇 시간 후 트위터 사용자는 Slope의 모바일 지갑에서 HTTP 트래픽(사용자의 시드 문구 포함)을 보여주는 스크린샷을 게시했습니다. CertiK는 지갑 계정을 가져올 때 사용자의 시드 문구가 Slope의 Sentry 로그 서버로 전송되고 로그에 액세스할 수 있는 사람은 누구나 계정을 인계받아 해당 주소에서 모든 자산을 전송할 수 있음을 발견했습니다.

공격 2주 후 Slope Wallet은 "포렌식 및 사건 대응 보고서"를 발표했습니다.

보고서를 통해 2022년 7월 28일부터 사용자의 개인 키가 데이터베이스에 기록될 것임을 알 수 있지만, 이 취약점 위험은 보안 감사 또는 내부 검토 후에 실제로 매우 쉽게 발견됩니다.

보조 제목

Profanity

Profanity는 GPU 기반 Vanity 주소(예쁜 이름 주소) 생성 도구로 사용자가 선호하는 Vanity 사용자 정의 외부 계정(EOA) 및 스마트 계약 주소를 생성할 수 있습니다.

욕설은 임의의 시드 번호를 사용하여 초기 개인 키로 확장하고 GPU를 통해 초기 개인 키를 기반으로 수백만 개의 계정을 계산하여 무차별 대입으로 사용자 요구 사항을 충족하는 주소를 만듭니다.

Profity는 기술적으로 지갑 앱은 아니지만 거의 모든 암호화폐 지갑에 공통적인 기능인 지갑 계정 생성 기능이 있습니다.

이것은 나쁜 결과로 이어지는 위험한 계정의 완벽한 예입니다.

2022년 9월 15일1Inch 팀은 "Ethereum 베니티 주소 도구 욕설에서 공개된 취약점"이라는 기사를 게시했습니다., 쉽게 해독될 수 있는 계정 개인 키를 생성하는 욕설 도구에 의한 안전하지 않은 시드 사용에 대해 알려줍니다. 이후 이 취약점이 처음으로 주목을 받았습니다.

5일 후인 9월 20일, 가장 큰 디지털 자산 마켓 메이커 중 하나인Wintermute해킹된 의 지갑 계정은 공격자가 스마트 계약에서 약 1억 6,250만 달러를 인출하는 데 사용되었습니다.

10월 11일, Qanx Bridge의 배포자 계정이 해킹되었고, 공격자는 해당 계정을 사용하여 Bridge에서 $Qanx를 인출하고 판매했습니다. 다수의 공격자들도 블록체인에서 취약한 계정을 적극적으로 사냥하고 자금을 훔치고 있었습니다.

이러한 유형의 문제의 근본 원인은 총 시드 수가 2^32(40억)에 불과할 수 있다는 것입니다. 안전하지 않은 시드와 되돌릴 수 있는 무차별 대입 프로세스를 통해 이 도구를 사용하여 생성된 계정의 개인 키를 복구할 수 있습니다. CertiK는 개념 증명을 성공적으로 개발했으며 Wintermute 및 Qanx 배포자 계정의 개인 키를 복구할 수 있었습니다.

그러한 사건은 독특한 것이 아닙니다.

2013년에는 Android의 난수 생성기에서 유사한 취약점이 발견되어 비트코인 ​​지갑 생성에 영향을 미쳤습니다.

암호화는 복잡한 분야이므로 보안을 손상시키는 실수를 하기 쉽습니다. 황금률은 "자신의 암호를 굴리지 마십시오"입니다(처음부터 암호화 기능을 구축하지 마십시오. 새 기능은 충분히 오랫동안 테스트되지 않았기 때문에 허점이 많을 수 있습니다).

다행스럽게도 대부분의 디지털 통화 지갑은 다음을 사용합니다."bip 39"보조 제목

MetaMask용 iCloud 백업

4월 17일, 3천만 명이 넘는 사람들이 디지털 자산을 저장하고 관리하는 데 사용하는 주류 암호화폐 지갑인 MetaMask는 iOS 사용자에게 Apple iCloud에 지갑 비밀을 저장하는 잠재적 위험에 대해 경고했습니다.

시드 문구와 같은 지갑에 민감한 정보는 iCloud에 업로드될 때 암호화되지만 소유자의 Apple 계정이 손상되고 강도가 낮은 암호가 사용되면 디지털 자산이 위험에 처할 수 있습니다.

비용이 많이 드는 피싱 공격에 대한 대가로 경고가 나왔습니다.

이 공격에서 Twitter 계정이 @revive_dom인 사용자 Domenic Iacovone은 총 가치가 약 650,000달러에 달하는 대량의 디지털 통화와 비균질 토큰을 잃었습니다.

사기꾼은 Apple 지원 에이전트인 것처럼 가장하여 Iacovone의 iCloud 계정에 액세스하고 저장된 MetaMask 자격 증명을 사용하여 지갑을 비우고 그를 이 사회 공학 공격의 희생자로 만들었습니다.
보조 제목

SeaFlower

보안 연구 팀은 조직인 SeaFlower가 백도어를 통해 사용자의 니모닉 문구를 훔칠 수 있는 합법적인 디지털 통화 지갑(Coinbase Wallet, MetaMask, TokenPocket 및 imToken 포함)의 악성 버전을 배포하고 있음을 발견했습니다. 이렇게 수정된 지갑은 의도한 대로 작동하지만 공격자가 훔친 시드 문구를 사용하여 사용자의 디지털 통화를 얻을 수 있습니다.

SeaFlower는 가짜 웹사이트 생성 및 검색 엔진 최적화(SEO)에 대한 공격 또는 소셜 미디어 채널, 포럼 및 맬버타이징을 통해 이를 홍보하는 등의 다양한 수단을 통해 가능한 한 많은 사용자에게 트로이목마 버전의 디지털 통화 지갑 애플리케이션을 전파합니다. 그러나 주로 검색 서비스를 통해 배포됩니다.

연구원들은 특히 Baidu 엔진의 검색 결과가 SeaFlower의 영향을 받아 대량의 트래픽을 악성 웹사이트로 유도하는 것을 발견했습니다.

iOS 기기에서 공격자는 개발자와 기기를 승인된 개발 팀에 연결하는 구성 파일을 악용하여 보안 보호를 우회하여 악성 앱을 사이드 로드할 수 있으며 기기를 앱 코드 테스트에 사용하도록 허용하여 공격자가 이를 사용하여 악성 애플리케이션을 iOS 기기에 추가할 수 있습니다. 장치.

디지털 통화 지갑 앱의 일반적인 보안 문제

• 지갑에 민감한 정보가 서버에 업로드되거나 서버 측에서 지갑이 생성됩니다.

가장 심각한 위험 중 하나는 지갑에 민감한 정보를 서버에 업로드하거나 서버 측에서 지갑을 생성하는 것입니다. 비수탁 지갑의 경우 지갑에 민감한 정보는 사용자의 장치에 저장해야 합니다. 암호화된 형태로 존재하더라도 이 매우 민감한 데이터는 여전히 전송 중에 가로채거나 서버 데이터베이스 또는 로그에 액세스할 수 있는 누군가에게 유출될 수 있습니다.

• 안전하지 않은 스토리지

지갑 암호 및 기타 비밀과 같은 민감한 정보가 일반 텍스트로 저장되거나 장치의 안전하지 않은 위치에 저장되면 보안 위험이 발생합니다.

이 사례에는 Android의 외부 저장소 또는 iOS의 "UserDefaults"가 포함됩니다.

또한 보안되지 않은 키 유도 함수를 사용하여 암호화 키를 생성하거나 보안되지 않은 암호화 알고리즘을 사용하여 데이터를 보호하는 경우에도 발생할 수 있습니다.

• 운영 및 운영 환경에 대한 보안 점검 부족

데이터를 안전하게 저장하는 것 외에도 지갑 애플리케이션은 운영 보안과 기본 운영 환경의 보안도 보장해야 합니다. 이 범주의 몇 가지 일반적인 문제에는 루트 및 탈옥 감지 부족, 사용자가 민감한 지갑 정보의 스크린샷을 찍는 것을 방지할 수 없음, 앱이 백그라운드에서 실행되는 동안 민감한 정보를 숨기지 못함, 민감한 입력 필드에 대한 사용자 지정 키보드 허용 등이 있습니다.

• 확장 지갑의 악성 웹사이트에 대한 보호 부족

대부분의 DApp은 웹 애플리케이션이며 브라우저 확장 지갑을 사용하는 것이 상호 작용하는 가장 일반적인 방법입니다.

첫 번째 레벨 제목

지갑 사용자를 위한 조언

디지털 자산을 보호하고 지갑을 안전하게 유지하기 위해 예방 조치를 취하는 것이 중요합니다. 디지털 통화 분야는 해커와 사기꾼이 제기하는 위험으로 가득 차 있습니다.

다음은 해킹 가능성을 줄이기 위해 사용자가 참조하거나 따를 수 있는 권장 사항 목록입니다.

① 보안 기준을 충족하는 지갑을 선택합니다. 일부 지갑은 버그가 있고 해킹이나 기타 보안 위반에 취약할 수 있습니다. 보안업체의 테스트를 거쳐 잠재적인 취약점을 철저히 확인하고 보안 기준을 충족한다고 판단되는 지갑만 사용하시기 바랍니다.

② 공식 iOS 스토어 및 Google Play 스토어에서 앱을 다운로드하면 합법적인 앱 버전을 받을 수 있습니다.

③ 소프트웨어 업데이트에는 종종 발견된 취약점에 대한 보안 수정 사항이 포함되므로 장치를 최신 상태로 유지하는 것이 중요합니다.
④ 전용 휴대폰 또는 개인용 컴퓨터를 사용하여 지갑 애플리케이션을 설치하고, 일상 업무용 장비를 사용하지 마십시오. 이는 실수로 설치된 악성 애플리케이션으로 인한 피해 위험을 줄이는 데 도움이 됩니다.
마지막에 쓰기

마지막에 쓰기

새로운 Layer 1 및 Layer 2 블록체인이 지속적으로 개발되고 있으며 많은 기존 지갑이 이러한 새로운 블록체인과 호환되지 않기 때문에 더 많은 디지털 통화 지갑이 시장에 출시될 것입니다.

지갑의 보안 위험을 최대한 줄이려면 사용자와 지갑 개발자의 공동 노력이 필요합니다.