웹3 피싱이란?

Web3 피싱은 암호화폐 사용자를 표적으로 삼아 공식 웹사이트로 위장한 가짜 웹사이트를 만들어 사용자의 인증, 서명, 암호화폐 자산을 훔치는 온라인 사기 행위입니다. Web3.0 기술의 발전으로 새로운 Web3 피싱 사기가 끊임없이 등장하고 있습니다. 아래에서는 새로운 web3 피싱 공격 방법인 승인 피싱, 유니스왑 허가 2 피싱, 클레임 피싱, 모델 피싱을 소개하겠습니다. 그리고 승인 피싱에 대한 예방 조치, 허가 2의 서명 식별, 클레임 피싱 공격 방지, 모달 피싱 공격 방지 등 사용자가 이러한 공격을 식별하고 방지하는 데 도움이 되는 효과적인 조치를 제공합니다.

1. 승인전화 공격

web3 피싱 공격은 주로 다음과 관련이 있습니다.승인, 증액수당 운영관련된. 공격자는 위조된 이메일이나 메시지, 가짜 웹사이트나 애플리케이션, 소셜 엔지니어링, 악성 광고나 팝업을 통해 사용자를 속여 승인 작업을 수행합니다. 따라서 사용자는 불필요한 권한을 철회해야 합니다. 승인 취소는 피싱 공격자에 의해 악용될 수도 있습니다.

승인 취소 피싱 공격은 어떻게 발생하나요?

• 공격자는 가짜를 배포했습니다.ERC-20 토큰 계약, 승인 기능을 수정했습니다.

• 공격자는 다수의 온체인 주소에 대한 인증을 수동으로 위조했습니다.사용자에게 승인을 취소하도록 알림；

• 사용자가 알림을 받고 승인 취소를 클릭하면 거래가 전송됩니다. 이 거래로 인해 토큰이 계약 배포자의 지갑에 생성됩니다.

raiseAllowance 승인된 피싱 거래 링크

https://arbiscan.io/tx/0xd598336fac79123952319c9cd9cc62aa275162ce5f39d08ccac0c5e6ef0538e5

승인취소 피싱 거래링크https://etherscan.io/tx/0xd4d606caddebf185dc6902ffcec78f3cc915826e1c0e37319d407d01681980ab

2. 유니스왑 허가 2 피싱 공격

Uniswap permit 2 다양한 애플리케이션에서 토큰 인증을 공유하고 관리할 수 있습니다. 사용자는 한 번의 거래로 인증과 거래만 완료하면 되기 때문에 거래 가스 비용이 절감되고 거래 운영 프로세스가 단순화됩니다. 그러나 Permit 2는 사용자의 작업을 오프체인 서명으로 전환합니다.사용자에게 있어 오프체인 서명은 경계심을 늦추는 가장 쉬운 단계이며 대다수의 사람들은 서명 내용을 주의 깊게 확인하지 않거나 서명 내용을 이해하지 못합니다.

유니스왑 허가 2 시그니처 피싱 공격은 어떻게 발생하나요?

• 사용자는 Permit 2 계약에 대해 자신이 보유하고 있는 토큰의 권한을 승인하며 이는 중요한 전제 조건입니다.이는 인증 시 서명이 피싱 사기 위험에 노출되었음을 의미합니다.

• 해커는 사용자의 서명을 얻었고, 이 서명을 기반으로 해커는 사용자의 자산을 이전하기 위해 허가 2 계약의 허가 및 transferFrom 작업을 수행했습니다.

• 해커는 verify 함수와 _updateApproval 함수가 주로 호출되는 허가 함수를 호출한다. 확인 기능은 사용자 서명을 확인하는 데 사용됩니다. 검증이 통과된 후 _updateApproval 함수를 실행합니다. _updateApproval 함수는 인증 값을 업데이트하는 데 사용됩니다.

• 승인된 당사자는 transferFrom 함수를 호출하여 승인 한도 내에서 지정된 주소로 토큰을 전송할 수 있습니다.

피싱거래링크 2건 허용

https://etherscan.io/tx/0x1d8fa25f8f16d52cd4c5716e0cefd9b1cdbbbc060901cea223bab9de79b17ea3

3. 피싱 공격 주장

클레임 피싱 공격은 신뢰할 수 있는 엔터티의 요청을 위조하여 사용자를 속여 개인 정보, 로그인 자격 증명 또는 액세스 권한을 제공하도록 합니다. 이러한 클레임 피싱 계약은 일반적으로제로 주소로 위장사용자의 신뢰를 속이고 사용자의 암호화된 자산을 회수하려는 경우.

클레임 피싱 공격은 어떻게 발생하나요?

• 피셔는 사기 계약 및 허브 계약을 배포하고 EOA를 생성하여 훔친 사용자 자금을 받습니다. 사기 계약에는 사용자의 ETH, ERC 20 토큰 및 NFT를 훔칠 수 있는 기능이 있습니다. 사기 계약은 오픈 소스가 아니지만 온체인 거래 데이터로 판단하면 계약에는 주로 Cliam과 Multicall이라는 두 가지 기능이 포함되어 있습니다.

Claim 기능이 호출되면 피해자가 보유하고 있는 토큰이 내부 트랜잭션을 통해 허브 컨트랙트로 전송됩니다.

Multicall 기능은 피해자가 승인한 토큰을 전송하는 데 사용됩니다.

• 허브 계약은 다양한 사기 계약에서 도난당한 자금의 수집 지점 역할을 합니다. 피싱 공격자가 생성한 EOA는 허브 계약의 출금 기능을 호출하여 자금을 출금할 수 있습니다.

피싱거래링크 클레임

https://etherscan.io/tx/0xfe70f1b0a92e719bff0d291b7a79987e6e93ed129d52be8e8918c2b9acb1f3b0

4. 모달 피싱 공격

웹 3.0 암호화폐 지갑의 특정 사용자 인터페이스(UI) 요소는 공격자가 제어하여 모달 피싱(Modal Phishing)으로 알려진 공격인 피싱 공격을 수행할 수 있습니다. Web3.0 통화 지갑의 일반적인 모달 디자인은 일반적으로 서명과 같은 요청을 확인하는 데 필요한 정보와 요청을 승인하거나 거부하는 버튼을 제공합니다.

모달 피싱 공격이 어떻게 발생하는지 소개하기 위해 메타마스크 지갑을 예로 들어볼까요?

• 피싱 공격자는 결제 기능이 있는 SecurityUpdate 기능이 있고 피해자가 스마트 계약으로 자금을 이체할 수 있도록 하는 피싱 스마트 계약을 배포합니다.

• 또한 피싱 공격자는 SignatureReg를 사용하여 SecurityUpdate 함수 서명을 사람이 읽을 수 있는 문자열 SecurityUpdate로 등록합니다.

• 피해자는 Metamask 지갑에서 위의 피싱 스마트 계약에 연결합니다.

• Metamask는 이 피싱 스마트 계약을 구문 분석하고 함수 서명 바이트를 사용하여 해당 함수 메서드인 SecurityUpdate를 쿼리합니다.

• SecurityUpdate는 메타마스크 모델에서 렌더링되어 사용자 확인을 요청합니다. 사용자가 SecurityUpdate 버튼을 클릭하면 피싱에 성공합니다. 이때 피싱 공격자가 작성한 피싱 스마트 계약이 실행되고 피해자의 자금이 스마트 계약으로 이체된다.

Web3 피싱 공격을 피하는 방법

1. 승인피싱 예방조치

승인 작업의 구체적인 내용을 이해하고 올바른 채널에서 승인 정보를 쿼리하고 승인을 취소하면 승인, 허용량 증가, 승인 취소와 같은 피싱 사기를 효과적으로 방지할 수 있습니다.

다음 내용은 사용자가 인증 작업의 특정 내용을 이해하는 데 도움이 될 수 있습니다.

승인 시 사용자는 승인 금액, 승인 통화 및 승인 주소를 고려해야 합니다. 승인 금액과 통화를 지정함으로써 사용자는 승인된 당사자가 자신의 계정에서 이체할 수 있는 자산의 양을 제한하여 이 상호 작용과 관련 없는 통화 승인을 방지할 수 있습니다. 또한 사용자는 승인된 주소를 주의 깊게 확인하고 올바른 주소에 승인이 이루어졌는지 확인하기 위해 여러 채널을 통해 주소를 확인해야 합니다.

• 정식 승인 이전에 사용자는 해당 토큰 계약에서 승인 거래를 시뮬레이션하여 승인 정보를 얻을 수 있습니다.

• 승인 또는 증가 허용, 감소 허용 등 승인 관련 기능을 찾고 다음 정보를 입력하여 승인 트랜잭션을 시뮬레이션합니다.

• 승인 시뮬레이션 후 Phalcon에서 시뮬레이션된 거래의 구체적인 정보를 확인할 수 있으며, 입력 데이터에서 승인 주소와 승인 금액을 확인할 수 있습니다.

위의 결과가 사용자가 기대하는 것과 같을 경우 정식 인증을 수행할 수 있습니다.

체인에 대한 승인 정보를 추적하고 승인 정보를 취소하는 구체적인 단계는 다음과 같습니다.

승인 완료 후, 사용자는 정기적으로 토큰 승인 상태를 추적할 수 있으며, 해당 승인을 취소할 수도 있습니다.Etherscan, BscScan and Polygonscan블록체인 탐색기에는 토큰 승인 확인 기능이 있습니다.

• 주소를 입력하면 해당 주소의 승인 거래 내역을 확인할 수 있으며, 각 거래 오른쪽에 있는 취소 버튼을 통해 해당 승인을 취소할 수 있습니다.

• 조회된 승인 거래에서 승인 통화, 승인 주소, 승인 금액을 확인할 수 있습니다.

2. 허가증 2의 서명을 확인하세요.

Permit 2 피싱 사기는 서명의 특정 내용을 이해하고, 식별하고, 다시 확인할 수 있다면 효과적으로 피할 수 있습니다.

서명 형식에는 일반적으로 각각 다음을 참조하는 소유자, 지출자, 가치, 임시값 및 마감일의 주요 필드가 포함됩니다.

1. 소유자: 서명을 통해 인증하려는 주소를 지정하는 데 사용되는 토큰 소유자의 주소를 나타냅니다.

2. 스펜더: 토큰 사용이 승인된 주소를 나타내며, 승인하려는 주소를 지정하는 데 사용됩니다.

3. 값: 승인하려는 토큰 수를 나타냅니다. 스펜더에 승인할 특정 토큰 수를 지정할 수 있습니다.

4. nonce: 각 승인된 트랜잭션에 고유 식별자가 있는지 확인하는 데 사용되는 토큰 보유자를 나타내는 트랜잭션 카운터입니다.

5. 마감일: 서명의 유효 기간을 제한하는 데 사용되는 서명의 유효 마감일을 나타냅니다. 만료 후에는 서명이 무효화됩니다.

기본 최대값을 선택하는 대신 사용자가 필요에 따라 특정 값과 기한을 설정하는 것이 좋습니다.

Uniswap 허가 2 계약을 호출하기 전에 사용자는 관련 인증 기능을 시뮬레이션하여 인증 세부 사항을 이해할 수 있습니다. 시뮬레이션 버튼을 클릭합니다.

승인 기능을 선택하고 다음 매개변수를 입력한 후 허가 2 계약을 승인하는 사용자를 시뮬레이션합니다.

3. 클레임 피싱 공격 방지

Claim 피싱 함정에 빠지지 않으려면 피싱 계약 주소를 식별해야 하며, 사용자의 경계심을 완화하기 위해 주소가 0인 것처럼 위장하는 경우가 많습니다. 아래에는 클레임 ​​피싱 사기에 사용되는 일부 사기 계약이 나열되어 있습니다. 우리가 거래할 때,주소 앞에는 0000이 옵니다.。

https://etherscan.io/address/0x0000b514c923f55180fc12428e05695666620000

https://etherscan.io/address/0x0000438e0f00fc35dff19d0062608057a1d20000

https://etherscan.io/address/0x0000a4998724e52f0886edff693aca33f9900000

https://etherscan.io/address/0x000062accd1a9d62ef428ec86ca3dd4f45120000

https://etherscan.io/address/0x000038f1e0c4417a3650c3f9a9a920b2e52e0000

https://etherscan.io/address/0x000056c346441ef8065e56b0cddd43fdec100000

Claim 피싱 공격의 핵심은 사용자의 토큰 인증을 획득하는 것이므로 인증 상황에 항상 주의를 기울여야 합니다.

4. 모달 피싱 공격 방지

모달 피싱 공격의 근본 원인은 지갑 애플리케이션이 제시된 UI 요소의 적법성을 철저히 확인하지 않는다는 것입니다.이러한 종류의 피싱 공격을 방지하려면 지갑 애플리케이션 개발자는 항상 외부에서 들어오는 데이터를 신뢰할 수 없다고 가정해야 합니다.사용자는 위와 같이 자신의 서명정보와 인증정보도 확인할 수 있습니다.

요약하다

요약하면, 4가지 새로운 Web3 피싱 공격 방법을 구체적으로 소개하고 이에 따른 식별 및 예방 조치를 제공했습니다. 사용자의 경계심을 높이는 것 외에도 사용자가 승인 및 서명 관련 내용을 깊이 이해하고 정기적으로 승인 상태를 확인하며 적시에 불필요한 승인을 취소할 것을 권장합니다. 또한 공격자가 서명을 획득하여 오용하는 것을 방지하기 위해 무작정 서명하지 않는 것이 중요하다는 점을 강조합니다. Web3 보안 또는 스마트 계약 감사에 대해 다른 질문이 있는 경우 언제든지 문의해 주세요.연결하다. 기꺼이 도와드리겠습니다.