위험 경고: '가상화폐', '블록체인'이라는 이름으로 불법 자금 모집 위험에 주의하세요. — 은행보험감독관리위원회 등 5개 부처
정보
발견
검색
로그인
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
BTC
ETH
HTX
SOL
BNB
시장 동향 보기

OKX Web3:链上防钓鱼安全交易指南

欧易OKX
特邀专栏作者
2024-04-12 08:36
이 기사는 약 3047자로, 전체를 읽는 데 약 5분이 소요됩니다
​探索链上世界,安全第一。用户需谨记这3条安全规则:不要在任何网页填写助记词/私钥、谨慎点击钱包交易界面 确认按钮、以及推特/Discord/搜索引擎获得的链接可能是钓鱼链接。

새로운 주기에 접어들면서 사용자 활동이 증가함에 따라 온체인 상호작용 위험이 점점 더 노출되고 있습니다. 피싱 공격자들은 일반적으로 가짜 지갑 웹사이트, 소셜 미디어 계정 도용, 악성 브라우저 플러그인 생성, 피싱 이메일 및 정보 전송, 가짜 애플리케이션 게시 등의 방법을 사용하여 사용자에게 민감한 정보 유출을 유도하여 자산 손실을 초래합니다. 성별, 복잡성, 익명성과 같은 다양한 특성.

예를 들어, 피셔는 일반적으로 합법적인 지갑 웹사이트와 유사하게 보이는 가짜 웹사이트를 만들어 사용자가 개인 키나 니모닉 문구를 입력하도록 속입니다. 이러한 가짜 웹사이트는 일반적으로 소셜 미디어, 이메일 또는 광고를 사용하여 사용자가 액세스 정규 웹사이트인 것처럼 오인하도록 홍보합니다. 사용자의 자산을 훔치는 지갑 서비스입니다. 또한 피셔는 소셜 미디어 플랫폼, 포럼 또는 인스턴트 메시징 애플리케이션을 사용하여 지갑 고객 서비스 또는 커뮤니티 관리자인 것처럼 가장하고 사용자에게 허위 메시지를 보내 지갑 정보나 개인 키를 제공하도록 요구할 수 있습니다. 이 방법은 사용자를 이용합니다. 공직자들에게 개인정보 등을 공개하도록 유도하는 행위

종합해보면, 이러한 사례는 Web3 지갑 사용자에 대한 피싱 위협을 강조합니다. Web3 지갑 사용 시 사용자의 보안 인식을 향상시키고 자산 손실로부터 보호할 수 있도록 돕기 위해,OKX Web3는 심층적인 커뮤니티 조사를 진행하여 많은 Web3 지갑 사용자들이 겪는 피싱 사건을 수집하여 사용자들이 가장 자주 접하는 대표적인 피싱 시나리오 4가지를 추출하였고, 다양한 시나리오의 세분화된 사례를 통해 그래픽과 텍스트 사례의 조합을 활용하였습니다. 참고를 위해 Web3 사용자가 안전한 거래를 수행하는 방법에 대한 최신 가이드를 작성했습니다.

악성 정보 출처

1. 트위터는 인기 프로젝트에 응답합니다.

인기 프로젝트 Twitter를 통해 답장하기 예악성정보의 주요 경로 중 하나로,피싱 트위터 계정은 로고, 이름, 인증 마크 등이 공식 계정과 완전히 동일할 수 있고 심지어 팔로어 수도 수십K에 달할 수 있으며, 둘을 구별할 수 있는 유일한 것은——트위터 핸들(비슷한 문자 참고), 눈을 크게 뜨고 계세요.


또한, 가짜 계정은 공식 트윗에 고의로 답글을 달지만, 그 답글에는 피싱 링크가 포함되어 있어 사용자들이 쉽게 공식 링크인 것처럼 착각하고 속일 수 있는 경우가 많습니다. 현재 일부 공식 계정에서는 트윗 종료 트윗을 추가하여 사용자에게 후속 답변에서 피싱 링크가 발생할 수 있는 위험을 방지하도록 상기시킵니다.

2. 공식 트위터/디스코드 도용

피싱 공격자들은 신뢰도를 높이기 위해 프로젝트 당사자나 KOL의 공식 트위터/디스코드를 도용하고 공식 이름으로 피싱 링크를 게시하기도 하므로 많은 사용자가 쉽게 속아 넘어갑니다. 예를 들어, Vitalik의 트위터 계정과 TON 프로젝트의 공식 트위터 계정이 도난당했고, 피셔들은 이를 기회로 허위 정보나 피싱 링크를 게시했습니다.

3. 구글 검색 광고

피셔들은 구글 검색 광고를 이용하여 악성 링크를 게시하는 경우가 있는데, 사용자의 브라우저에 표시되는 이름은 공식 도메인 이름인 것처럼 보이지만 클릭 후 이동하는 링크는 피싱 링크입니다.

4. 가짜 애플리케이션

낚시꾼도 합격합니다사용자를 유인하기 위한 가짜 앱. 예를 들어, 사용자가 다운로드할 때피싱 공격자가 게시한 가짜 지갑을 설치하면 개인 키가 유출되고 자산 손실이 발생할 수 있습니다. 일부 피셔는 텔레그램 설치 패키지를 수정하여 토큰 수신 및 전송을 위한 온체인 주소를 변경하여 사용자 자산을 손실했습니다.

5. 대책: OKX Web3 지갑은 피싱 링크 감지 및 위험 알림을 지원합니다.

현재 OKX Web3 지갑은 사용자가 위의 문제를 더 잘 처리할 수 있도록 피싱 링크 감지 및 위험 알림을 지원합니다. 예를 들어, 사용자가 브라우저를 사용하여 OKX Web3 플러그인 지갑을 통해 웹 사이트에 액세스할 때 도메인 이름이 알려진 악성 도메인 이름인 경우 가능한 한 빨리 경고를 받게 됩니다. 또한 사용자가 OKX Web3 앱을 사용하여 Discover 인터페이스에서 타사 DAPP에 액세스하는 경우 OKX Web3 지갑은 도메인 이름에 대한 위험 감지를 자동으로 수행합니다.악성 도메인 이름인 경우 차단 알림이 표시됩니다. 발급되며 해당 이용자의 접속이 금지됩니다.

지갑 개인키 보안

1. 프로젝트 상호 작용 또는 자격 검증 수행

피셔는 사용자가 프로젝트와 상호 작용하거나 자격을 확인할 때 플러그인 지갑 팝업 페이지 또는 기타 웹 페이지로 위장하여 사용자에게 니모닉 문구/개인 키를 입력하도록 요구합니다. 이러한 유형의 웹사이트는 일반적으로 악의적이므로 사용자는 경계하십시오.

2. 프로젝트 당사자 고객센터 또는 관리자를 사칭하는 행위

피싱 공격자는 프로젝트 고객 서비스나 Discord 관리자인 것처럼 가장하여 사용자가 니모닉 문구나 개인 키를 입력할 수 있는 URL을 제공하는 경우가 많습니다. 이 경우 상대방이 피싱 공격자가 됩니다.

3. 니모닉 문구/개인 키가 유출될 수 있는 다른 경로

사용자니모닉 단어와 개인 키가 유출될 수 있는 방법은 다양합니다.일반적인 예로는 트로이 목마 바이러스 소프트웨어가 이식된 컴퓨터, 머리 기르기를 위해 지문 브라우저를 사용하는 컴퓨터, 원격 제어 또는 프록시 도구를 사용하는 컴퓨터, 사진 앨범을 저장하기 위해 스크린샷을 찍는 니모닉 단어/개인 키가 있지만 클라우드에 업로드 및 백업되는 컴퓨터 등이 있습니다. 그러나 클라우드 플랫폼이 침입하여 니모닉 문구/프라이빗 키를 입력하는 과정을 모니터링하여 주변 사람들이 니모닉 문구 프라이빗 키 파일/종이를 물리적으로 획득하고 개발자들이 프라이빗 키를 포함한 코드를 Github에 푸시하여, 등.

즉, 사용자는 지갑 자산의 보안을 강화하기 위해 니모닉 단어/개인 키를 안전하게 저장하고 사용해야 합니다. 예를 들어, 분산형 자체 호스팅 지갑인 OKX Web3 지갑은 이제 iCloud/Google 드라이브 클라우드, 매뉴얼, 하드웨어 및 기타 니모닉/개인 키 백업 방법에서 사용할 수 있으며 시장에서 가장 포괄적인 개인 키 백업 방법으로 성장했습니다. . 지갑은 사용자에게 개인 키를 저장하는 보다 안전한 방법을 제공합니다. 사용자 개인 키 도난 문제와 관련하여 OKX Web3 지갑은 Ledger, Keystone, Onekey 등 비교적 포괄적인 주류 하드웨어 지갑 기능을 지원합니다.하드웨어 지갑의 개인 키는 하드웨어 지갑 장치에 저장되며 사용자가 제어합니다. 스스로 자산 보안을 보장합니다. 즉, OKX Web3 지갑을 사용하면 사용자는 하드웨어 지갑을 통해 자산을 안전하게 관리할 수 있으며 동시에 온체인 토큰 거래, NFT 시장 및 다양한 dApp 프로젝트 상호 작용에 자유롭게 참여할 수 있습니다. 또한 OKX Web3 지갑은 이제 MPC 개인 키 없는 지갑과 AA 스마트 계약 지갑을 출시하여 사용자가 개인 키 문제를 더욱 단순화할 수 있도록 돕습니다.

4가지 고전적인 낚시 장면

시나리오 1. 메인체인 토큰 훔치기

피싱 공격자들은 종종 Claim, SeurityUpdate 등 오해의 소지가 있는 이름으로 악성 계약 기능을 명명하는데, 실제 기능 로직은 비어 있어 사용자의 메인 체인 토큰만 전송합니다. 현재 OKX Web3 지갑은 거래가 체인에 업로드된 후 자산 및 권한 변경 사항을 표시하는 거래 사전 실행 기능을 출시하여 사용자에게 보안에 더욱 주의를 기울일 것을 상기시킵니다. 또한 대화형 계약 또는 승인된 주소가 알려진 악성 주소인 경우 빨간색 보안 알림이 발행됩니다.

시나리오 2. 유사한 주소로 송금

대량 이체가 감지되면 피싱 공격자는 주소 충돌을 통해 수신 주소와 처음 몇 자리가 동일한 주소를 생성하거나, transferFrom을 사용하여 0의 금액을 이체하거나, 가짜 USDT를 사용하여 일정 금액을 이체하여 사용자의 거래 내역을 추적하고 사용자의 후속 조치를 기대하는 이체는 거래 내역에서 잘못된 주소를 복사하여 사기를 완료합니다.

https://www.oklink.com/cn/trx/address/TT3irZR6gVL1ncCLXH3PwQkRXUjFpa9itX/token-transfer

https://tronscan.org/#/transaction/27147fd55e85bd29af31c00e3d878bc727194a377bec98313a79c8ef42462e5f

시나리오 3. 온체인 인증

피셔는 일반적으로 사용자가 승인/increaseAllowance/decreaseAllowance/setApprovalForAll 트랜잭션에 서명하도록 유도하고 Create 2를 사용하여 업그레이드하여 미리 계산된 새 주소를 생성함으로써 보안 탐지를 우회하여 사용자 인증을 사취합니다. OKX Web3 Wallet은 승인된 거래에 대해 보안 알림을 발행합니다.사용자는 이 거래가 승인 관련 거래임을 주의하고 위험을 인지하는 것이 좋습니다. 또한, 거래 승인 주소가 알려진 악성 주소인 경우 빨간색 메시지를 표시해 사용자를 속이는 것을 방지합니다.


시나리오 4. 오프체인 서명

온체인 인증 외에도 피셔는 사용자가 오프체인에 서명하도록 유도하여 피싱에 가담합니다. 예를 들어, ERC 20 토큰 승인을 통해 사용자는 특정 금액을 다른 주소나 계약에 승인할 수 있습니다. 승인된 주소는 transferFrom을 통해 사용자 자산을 전송할 수 있습니다. 피셔는 이 기능을 사용하여 사기를 저지릅니다. OKX Web3 지갑은 현재 이러한 시나리오에 대한 위험 경고 기능을 개발 중입니다.사용자가 오프라인 서명에 서명할 때 서명 인증 주소를 구문 분석하여 알려진 악성 주소에 도달하면 사용자에게 위험 경고가 제공됩니다.


그 외 낚시 장면

시나리오 5. TRON 계정 권한

이러한 유형의 시나리오는 상대적으로 추상적입니다. 일반적으로 피싱 공격자는 다음을 통해 사용자를 얻습니다.자산을 통제할 수 있는 TRON 계정 권한. TRON 계정 권한 설정은 EOS와 유사하며 Owner 및 Active 권한으로 구분되며 권한 제어를 위해 유사한 다중 서명 형식으로 설정할 수 있습니다. 다음 권한은 Owner 임계값을 2로 설정하고 두 주소의 가중치는 1입니다. 과 2 각각이며 첫 번째 주소는 사용자입니다. 주소의 가중치는 1이며 계정은 단독으로 운영될 수 없습니다.

https://tronscan.org/#/wallet/permissions

https://www.oklink.com/trx/tx/1fe56345873425cf93e6d9a1f0bf2b91846d30ca7a93080a2ad69de77de5e45f

시나리오 6. 솔라나 토큰과 계정 권한

피셔는 SetAuthroity를 통해 토큰 ATA 계정 소유권을 수정합니다. 이는 토큰을 새 소유자 주소로 전송하는 것과 같습니다. 이 방법으로 사용자가 피싱을 당하면 자산이 피싱 당사자에게 이전되는 등의 현상이 발생합니다. 또한 사용자가 Assign 트랜잭션에 서명하면 일반 계정의 소유자는 시스템 프로그램에서 악의적인 계약으로 변경됩니다.

시나리오 7. EigenLayer가 queueWithdrawal을 호출합니다.

프로토콜 자체의 설계 메커니즘 등의 문제로 인해 피싱 공격자도 쉽게 악용할 수 있습니다. 이더리움 기반 미들웨어 프로토콜인 EigenLayer의 queueWithdrawal 호출을 통해 다른 주소를 출금자로 지정할 수 있으며 사용자는 피싱을 통해 거래에 서명했습니다. 7일 후, 지정된 주소는 CompleteQueuedWithdrawal을 통해 사용자의 약속된 자산을 얻습니다.

안전을 최우선으로 체인을 타고 세계를 탐험해보세요

Web3 지갑을 안전하게 사용하는 것은 자산을 보호하기 위한 핵심 조치이며, 사용자는 잠재적인 위험과 위협으로부터 보호하기 위해 실질적인 예방 조치를 취해야 합니다. 업계에서 유명하고 보안 감사를 받은 OKX Web3 지갑을 선택하면 체인의 세계를 더욱 안전하고 편리하게 탐색할 수 있습니다.

업계에서 가장 발전되고 포괄적인 지갑인 OKX Web3 지갑은 완전히 분산화되고 자체 호스팅되어 사용자가 원스톱으로 온체인 애플리케이션을 사용할 수 있습니다. 현재 85개 이상의 공개 체인과 3개의 앱 터미널을 지원합니다. 플러그인과 웹페이지가 통합되어 지갑, DEX, DeFi, NFT 마켓, DApp 탐색 등 5개 주요 분야를 포괄하며 Ordinals 마켓, MPC 및 AA 스마트 계약 지갑, 가스 교환, 하드웨어 지갑 연결 등을 지원합니다. 또한 사용자는 개인 키와 니모닉 문구를 안전하게 보호하고, 지갑 앱과 운영 체제를 정기적으로 업데이트하고, 링크와 정보를 주의 깊게 처리하고, 다단계 인증 기능을 활성화하여 지갑의 보안을 강화할 수 있습니다.

간단히 말해서, 온체인 세계에서는 자산 보안이 무엇보다 중요합니다.

사용자는 다음 3가지 Web3 보안 규칙을 기억해야 합니다. 웹 페이지에 니모닉 단어/개인 키를 입력하지 마십시오. 지갑 거래 인터페이스에서 확인 버튼을 클릭할 때 주의하십시오. Twitter/Discord/검색 엔진에서 얻은 링크는 피싱일 수 있습니다. 연결.

안전
OKX
Odaily 공식 커뮤니티에 가입하세요
구독 그룹

https://t.me/Odaily_News

채팅 그룹

https://t.me/Odaily_CryptoPunk

공식 계정

https://twitter.com/OdailyChina

채팅 그룹

https://t.me/Odaily_CryptoPunk

추천 기사

셧다운 종료가 시장 반등을 의미할까요? 이전 정부 재개방 이후 미국 주식, 금, 비트코인의 움직임을 종합적으로 분석했습니다.

"연방준비제도이사회 메신저" 분석: 연준의 금리 인하 방향이 갑자기 균형을 잃은 이유는 무엇일까?

미국 증권거래위원회(SEC) 위원장의 최근 연설: 혼란스러웠던 10년을 작별하고 암호화폐 규제가 명확성의 시대로 접어들고 있습니다.

AI 요약
맨 위로
​探索链上世界,安全第一。用户需谨记这3条安全规则:不要在任何网页填写助记词/私钥、谨慎点击钱包交易界面 确认按钮、以及推特/Discord/搜索引擎获得的链接可能是钓鱼链接。
작성자 라이브러리
欧易OKX
OKX Alphas Summit|产品接力呈现,现场演绎The New Money Era
OKX研究院|主流资产10年表现大起底,比特币、黄金、美股、美债等数据真相
클로드가 우승을 차지하다; 6대 AI 그리드 전략 대결의 진실 | OKX & AiCoin 라이브 트레이딩 리뷰
기사 인기 순위
일간 순위
주간 순위
비트코인이 10만 달러 아래로 떨어진 후, 누가 추세에 역행하여 급등했으며, 누가 기회를 잡아 0으로 떨어졌을까요?
비트코인이 10만 달러 아래로 떨어진 후, 누가 추세에 역행하여 급등했으며, 누가 기회를 잡아 0으로 떨어졌을까요?
주요 채굴 풀과 컴퓨팅 파워 생태계가 Psy Protocol 테스트넷에 참여하여 차세대 PoW 스마트 계약 플랫폼을 공동으로 구축합니다.
3개월 만에 20배나 증가한 ZEC의 "비트코인 실버" 주장은 타당할까?
주간 편집자 추천 (11월 1일~7일)
"중국 지역 Polymarket 1인"과의 Odaily 단독 인터뷰: 225배 수익 달성을 향한 25일간의 여정
Odaily 플래닛 데일리 앱 다운로드
일부 사람들이 먼저 Web3.0을 이해하게 하자
IOS
Android