소개: OKX Web3는 다양한 유형의 온체인 보안 문제에 대한 특별한 답변을 제공하기 위해 보안 특별 문제 칼럼을 특별히 기획했습니다. 사용자 주변에서 일어나는 가장 실제 사례를 통해 보안 분야의 전문가나 기관과 협력하여 다양한 관점에서 질문을 공유하고 답변함으로써 안전한 거래 규칙을 얕은 것부터 심층적으로 정리하고 요약하여 사용자 안전 강화를 목표로 합니다. 교육 및 사용자가 개인 키와 지갑 자산의 보안을 스스로 보호하는 방법을 배우도록 돕습니다.
어느 날 갑자기 누군가가 당신에게 100만 달러 상당의 지갑 주소에 대한 개인 키를 줍니다. 즉시 돈을 이체하시겠습니까?
그렇다면 이 글은 당신을 위해 맞춤 제작되었습니다.
이 기사는 OKX Web3의 보안 특집 제 01호로, 백번의 사기를 경험한 암호화 업계의 유명 보안 기관인 SlowMist 보안팀과 OKX Web3 보안팀을 특별히 초대하여 공유합니다. 유저들이 겪은 가장 실제적인 사례, 유용한 정보가 가득!
SlowMist 보안팀: OKX Web3의 초대에 진심으로 감사드립니다. 업계 최고의 블록체인 보안 회사인 SlowMist는 주로 보안 감사 및 자금 세탁 방지 추적을 통해 고객에게 서비스를 제공하며 견고한 위협 인텔리전스 협력 네트워크를 구축했습니다. 2023년에 SlowMist는 고객, 파트너 및 공개 해커가 총 1,250만 달러가 넘는 자금을 동결하도록 지원했습니다. 앞으로도 산업에 대한 경외심과 안전을 바탕으로 가치 있는 것들을 계속해서 배출해 나가기를 바랍니다.
OKX Web3 보안 팀: 안녕하세요 여러분, 이 소식을 공유하게 되어 매우 기쁩니다. OKX Web3 보안팀은 OKX Web3 지갑의 보안 기능 구축을 주로 담당하며, 제품 보안, 사용자 보안, 거래 보안 등 다양한 보호 서비스를 제공하는 동시에 사용자 지갑의 보안을 연중무휴로 지키는 역할도 합니다. 전체 블록체인의 보안 생태계를 유지합니다.
Q1: 실제 도난 사례를 공유해 주실 수 있나요?
SlowMist 보안팀: 첫째, 대부분의 사례는 사용자가 개인 키나 니모닉 문구를 온라인에 저장함으로써 발생합니다. 예를 들어 사용자가 자주 사용하는 Google Docs, Tencent Docs, Baidu Cloud Disk, WeChat Collection, Memo 등의 클라우드 스토리지 서비스에는 개인 키나 니모닉이 저장되어 있습니다. 이러한 플랫폼 계정이 해커에 의해 수집되고 크리덴셜 스터핑이 성공하면 개인 키는 쉽게 도난당합니다.
둘째, 사용자가 가짜 앱을 다운로드한 후 개인 키가 유출되었습니다. 예를 들어, 다중 서명 사기는 가장 일반적인 사례 중 하나입니다. 사기꾼은 사용자에게 가짜 지갑을 다운로드하고 지갑 니모닉을 훔치도록 유도한 후 즉시 사용자의 지갑 계정 권한을 변경합니다. 사용자 자신의 것부터 사용자의 것까지 사기꾼과 공동으로 보유하여 지갑 계정의 통제권을 탈취합니다. 이러한 사기꾼은 인내심을 갖고 사용자 계정이 일정 금액의 암호화폐 자산을 축적한 후 한꺼번에 전송하는 경향이 있습니다.
OKX Web3 보안 팀: Slow Mist는 사기꾼이 가짜 앱을 사용하여 사용자의 개인 키를 훔치는 두 가지 주요 유형의 트로이 목마 프로그램을 설명했습니다. 법률, 사진 및 기타 권한을 획득하여 사용자의 개인 키를 훔칩니다. IOS 사용자에 비해 Android 사용자는 트로이 목마 바이러스 공격을 더 많이 경험합니다. 다음은 두 가지 간단한 사례입니다.
사례 1: 한 사용자가 자신의 지갑 자산을 도난당했다고 신고했습니다. 저희 팀이 사용자와 연락하여 조사한 결과, Google 검색을 통해 위장된 데이터 플랫폼 소프트웨어를 다운로드하여 설치했기 때문이라는 사실을 발견했습니다. . 그러나 사용자가 플랫폼 소프트웨어를 검색하면 해당 링크가 구글 검색 TOP 5에 나타나 사용자가 공식 소프트웨어인 것으로 착각하게 만든다. 실제로 많은 사용자가 Google에서 제공하는 링크를 식별하지 못하므로 이러한 방식으로 트로이 목마 공격에 직면하기 쉽습니다. 사용자는 방화벽, 바이러스 백신 소프트웨어 및 호스트 구성을 통해 매일 보안 보호를 수행하는 것이 좋습니다.
사례 2: 사용자가 특정 DeFi 프로젝트에 투자할 때 지갑 자산이 도난당했다고 신고했습니다. 그러나 분석 및 조사 결과 사용자 B가 트위터에 프로젝트에 대한 댓글을 달았을 때 DeFi 프로젝트를 사칭한 공식 고객 서비스의 표적이 되었기 때문에 DeFi 프로젝트 자체에는 문제가 없는 것으로 나타났습니다. 가이드를 클릭하여 허위 링크를 입력하고 니모닉 문구를 입력하여 지갑 자산을 도난당했습니다.
사기꾼의 방법이 영리하지는 않지만 사용자는 식별에 대한 인식을 높여야 하며 어떤 상황에서도 개인 키를 쉽게 유출할 수 없습니다. 또한, 우리 지갑은 이 악성 도메인 이름에 대한 보안 위험 경고를 발행했습니다.
Q2: 개인 키를 보관하는 가장 좋은 방법이 있습니까? 개인 키에 대한 의존도를 줄이기 위해 현재 어떤 대안을 사용할 수 있습니까?
SlowMist 보안 팀: 개인 키나 니모닉 문구는 실제로 단일 실패 지점입니다. 한번 도난당하거나 분실되면 복구가 어렵습니다. 현재 안전한 다자간 연산 MPC, 소셜 인증 기술, Seedless/Keyless, 사전 실행 및 영지식 증명 기술과 같은 새로운 기술은 사용자가 개인 키에 대한 의존도를 줄이는 데 도움을 주고 있습니다.
MPC를 예로 들면, MPC 기술은 모든 참가자가 작업을 완료하기 위해 복잡한 공동 계산을 수행하는 동시에 데이터가 비공개로 안전하게 유지되고 다른 참가자와 공유되지 않음을 의미합니다. 둘째, MPC 지갑은 일반적으로 MPC 기술을 사용하여 개인 키를 여러 당사자가 공동으로 관리하는 여러 조각으로 안전하게 나누거나 단순히 여러 당사자가 공동으로 가상 키를 생성하는 경우를 본 적이 없습니다. 현재 완전한 개인 키를 가지고 있습니다. 한마디로 MPC의 핵심 아이디어는 위험 확산이나 재난 대비 능력 향상 등의 목적을 달성하기 위해 제어권을 분산시켜 단일 장애 지점과 같은 보안 문제를 효과적으로 방지하는 것입니다.
MPC에는 Keyless라는 단어가 포함되어 있는데, 이는 기억할 단어 없음 또는 개인 키 없음으로 이해될 수 있습니다. 그러나 이 없음은 실제 의미에서 키가 없다는 것을 의미하는 것이 아니라 사용자가 니모닉 문구나 개인 키를 백업할 필요가 없고 그 존재를 인식하지 못한다는 것을 의미합니다. 키리스 지갑에 대해 알아야 할 3가지 사항은 다음과 같습니다.
1. Keyless 지갑 생성 과정에서 개인키는 언제 어디서나 생성되거나 저장되지 않습니다.
2. 거래에 서명할 때 개인 키는 관련되지 않으며 개인 키는 언제든지 재구성되지 않습니다.
3. 키리스 지갑은 완전한 개인 키와 시드 문구를 생성하거나 저장하지 않습니다.
OKX Web3 보안 팀: 현재 개인 키를 저장하는 완벽한 방법은 없습니다. 그러나 당사 보안팀에서는 개인 키 관리를 위해 하드웨어 지갑 사용, 개인 키 직접 저장, 다중 서명 설정, 니모닉 구문 분산 저장을 권장합니다. 예를 들어, 니모닉 단어의 분산 저장은 사용자가 니모닉 단어를 2개 이상의 그룹으로 나누어 저장하여 니모닉 단어가 도난당할 위험을 줄일 수 있음을 의미합니다. 또 다른 예를 들어, 다중 서명을 설정한다는 것은 사용자가 신뢰할 수 있는 사람을 선택하여 공동 서명하여 거래의 보안을 결정할 수 있음을 의미합니다.
물론, 사용자의 지갑 개인 키의 보안을 보장하기 위해 OKX Web3 지갑의 하위 계층 전체는 인터넷에 연결되어 있지 않습니다. 사용자의 니모닉 문구와 개인 키 관련 정보는 모두 암호화되어 로컬에 저장됩니다. 사용자의 장치 및 관련 SDK도 오픈 소스이며 기술적으로 광범위한 커뮤니티 검증을 통해 더욱 개방적이고 투명해졌습니다. 또한 OKX Web3 지갑은 Slow Mist 등 유명 보안 기관과 협력하여 엄격한 보안 감사를 실시했습니다.
또한 사용자를 더 잘 보호하기 위해 OKX Web3 보안 팀은 개인 키 관리를 위한 보다 강력한 보안 기능을 제공 및 계획하고 있으며 계속해서 반복 및 업그레이드하고 있습니다. 다음은 간략한 공유입니다.
1. 이중 암호화. 현재 대부분의 지갑은 일반적으로 비밀번호로 암호화된 니모닉 방법을 사용하여 암호화된 콘텐츠를 로컬에 저장합니다. 그러나 사용자가 트로이 목마 바이러스에 감염된 경우 트로이 목마는 암호화된 콘텐츠를 검사하고 사용자가 입력한 비밀번호를 모니터링합니다. 사기꾼이 가로채면 암호화된 콘텐츠를 해독하여 사용자의 니모닉 문구를 얻을 수 있습니다. 앞으로 OKX Web3 지갑은 니모닉 문구를 암호화하기 위해 2단계 방법을 사용할 예정입니다. 사기꾼이 트로이 목마를 통해 사용자의 비밀번호를 알아내더라도 암호화된 콘텐츠를 해독할 수는 없습니다.
2. 개인키 복사는 안전합니다. 대부분의 트로이 목마는 사용자가 개인 키를 복사할 때 사용자의 클립보드에 있는 정보를 훔쳐 사용자의 개인 키가 유출되도록 합니다. 개인키의 일부를 복사하고 적시에 클립보드 정보를 삭제하는 등 사용자의 개인키 복사 과정에 대한 보안을 강화하여 사용자가 개인키 정보 도난 위험을 줄일 수 있도록 도울 계획입니다.
Q3: 현재 개인 키 도난으로 인한 일반적인 피싱 수법은 무엇입니까?
SlowMist 보안팀: 우리의 관찰에 따르면 피싱 활동은 매달 점차적으로 증가하고 있습니다.
첫째, 현재 지갑 도둑(Wallet Drainers)은 현재 피싱 활동의 주요 위협을 구성하며 다양한 형태로 일반 사용자를 지속적으로 공격하고 있습니다.
월렛 드레이너(Wallet Drainers)는 사용자를 속여 악성 거래에 서명하도록 유도하여 사용자 지갑 자산을 훔치기 위해 피싱 웹사이트에 배포되는 일종의 암호화폐 관련 악성 코드입니다. 예를 들어, 현재 활동 중인 지갑 도둑(Wallet Drainers)은 다음과 같습니다.
1. Discord Token을 획득하고 소셜 엔지니어링을 통해 피싱을 수행하는 Pink Drainer입니다. 사회 공학에 대한 대중적인 이해는 통신을 통해 사용자의 개인 정보를 얻는 것입니다.
2. 도메인 이름 서비스 제공업체에 대해 사회 공학적 공격을 수행하는 Angel Drainer도 있습니다. 도메인 이름 계정의 관련 권한을 획득한 후 Angel Drainer는 DNS 확인 방향을 수정하고 사용자를 가짜 웹 사이트 등으로 리디렉션합니다.
둘째, 현재 가장 일반적인 피싱 방법은 블라인드 서명입니다. 블라인드 서명은 사용자가 프로젝트와 상호 작용할 때 자신이 서명하고 승인하려는 콘텐츠가 무엇인지 알지 못해 혼란스러운 방식으로 확인 버튼을 클릭하는 것을 의미합니다. 그런 다음 자금 도난으로 이어집니다. 블라인드 사인 낚시에 관해 몇 가지 예를 들어보겠습니다.
사례 1: eth_sign과 같은 것입니다. eth_sign은 모든 해시에 서명할 수 있는 개방형 서명 방법입니다. 즉, 트랜잭션이나 데이터에 서명하는 데 사용할 수 있습니다. 그러나 일반적으로 기술적 기반이 없는 사용자는 서명 내용을 이해하기 어렵습니다. 여기서 낚시를 할 위험이 있습니다. 다행스럽게도 점점 더 많은 지갑이 이러한 유형의 서명에 대한 보안 알림을 발행하기 시작했으며 이를 통해 어느 정도 자본 손실 위험을 피할 수 있습니다.
사례 2: 서명 피싱을 허용합니다. 우리 모두는 ERC 20 통화 거래에서 사용자가 인증을 위해 승인 기능을 호출할 수 있다는 것을 알고 있지만, 허가 기능을 통해 사용자는 오프체인에서 서명을 생성한 다음 지정된 사용자에게 일정량의 토큰을 사용하도록 인증할 수 있습니다. 피싱의 경우, 공격자는 피싱 웹사이트를 통해 사용자에게 허가 승인 서명을 요청하고, 사용자가 서명한 후 공격자는 토큰 계약의 허가 기능을 호출하여 전달합니다. 서명된 데이터를 체인에 브로드캐스팅하여 토큰의 인증 한도를 얻은 다음 사용자의 토큰을 훔칩니다.
사례 3: 숨겨진 생성 2 기술. create 2를 사용하면 개발자는 계약을 Ethereum 네트워크에 배포하기 전에 계약의 주소를 예측할 수 있습니다. 생성 2를 기반으로 공격자는 각 악성 서명에 대해 임시 새 주소를 생성할 수 있습니다. 공격자는 사용자를 속여 권한 서명을 부여한 후 이 주소에서 계약을 생성한 다음 사용자의 자산을 전송할 수 있습니다. 이들 주소는 빈 주소이기 때문에 일부 피싱 플러그인과 보안업체의 모니터링 알림을 우회할 수 있어 은폐성이 뛰어나고 사용자가 쉽게 속일 수 있습니다.
간단히 말해서, 피싱 웹사이트의 경우 사용자는 상호작용하기 전에 프로젝트의 공식 웹사이트를 식별할 수 있고 상호작용 중에 악의적인 서명 요청이 있는지 주의를 기울일 수 있으며 니모닉 단어나 개인 키 제출에 주의해야 하며 유출되지 않도록 기억해야 합니다. 니모닉 단어 또는 개인 키.
OKX Web3 보안팀: 일반적인 피싱 방법에 대한 연구를 수행하고 제품 측면에서 다차원적인 보안 보호를 제공했습니다. 현재 사용자들이 겪고 있는 가장 중요한 유형의 피싱 방법을 간략하게 공유하겠습니다.
첫 번째 카테고리는 가짜 에어드롭입니다. 해커는 일반적으로 피해자의 주소와 시작과 끝이 유사한 주소를 생성하고 사용자에게 소액 이체, 0U 이체 또는 가짜 토큰 이체 에어드랍을 수행합니다. 이러한 거래는 사용자가 실수로 복사한 경우에 표시됩니다. 잘못된 주소를 붙여넣으면 자산 손실이 발생합니다. 이러한 유형의 공격에 대응하여 OKX Web3 Wallet은 과거 거래를 식별하고 위험으로 표시하는 동시에 사용자가 자신의 주소로 자금을 이체할 때 보안 위험 메시지를 표시합니다.
두 번째 범주는 유도된 서명 범주입니다. 일반적으로 해커는 Twitter, Discord, TG 등 공공 장소에서 잘 알려진 프로젝트에 댓글을 달고 가짜 DeFi 프로젝트 URL이나 에어드랍을 받기 위한 URL을 게시하여 사용자의 클릭을 유도하여 사용자 자산을 훔칩니다. eth_sign, allowed, create 2 및 Slow Mist에서 언급한 기타 서명 피싱 외에도 다음과 같은 피싱이 있습니다.
방법 1: 메인체인 토큰을 훔치기 위해 직접 전송합니다. 해커는 종종 Claim 및 SeurityUpdate와 같은 오해의 소지가 있는 이름을 사용하여 악의적인 계약 기능의 이름을 지정하지만 실제 기능 로직은 비어 있어 사용자의 메인 체인 토큰만 전송합니다. 현재 OKX Web3 지갑은 거래가 체인에 업로드된 후 자산 변경 및 승인 변경을 표시하고 사용자에게 보안 위험 알림을 제공할 수 있는 사전 실행 기능을 출시했습니다.
방법 2: 온체인 인증. 해커는 일반적으로 사용자가 승인/increaseAllowance/decreaseAllowance/setApprovalForAll 트랜잭션에 서명하도록 유도합니다. 이 트랜잭션을 통해 해커는 사용자의 토큰 자산을 지정된 주소로 전송하고 사용자가 서명한 후 실시간으로 사용자 계정을 모니터링할 수 있습니다. 에서 즉시 전송됩니다. 피싱 공격자에 대한 보안 보호 프로세스는 대결이자 지속적인 업그레이드 과정입니다.
대부분의 지갑은 해커의 승인된 주소에 대해 보안 위험 탐지를 수행하지만 공격자의 공격 방법도 업그레이드되고 있습니다. 예를 들어 create 2 기능을 사용하면 새 주소가 금고에 없기 때문에 공격자는 새 주소를 미리 계산합니다. 블랙 주소 라이브러리이므로 보안 탐지를 쉽게 우회할 수 있습니다. 공격자는 누군가가 미끼를 가져갈 때까지 기다린 다음 해당 주소로 이동하여 계약을 배포하고 사용자의 자금을 이체합니다. 예를 들어, 최근 많은 공격자가 uniswap.multicall 계약에 대한 권한을 부여한다는 사실을 발견했습니다. 이 계약은 일반 프로젝트 계약이므로 보안 제품 탐지를 우회할 수도 있습니다.
방법 3: 권한 변경: tron 권한 변경, solana 권한 변경 등을 포함합니다. 첫째, 트론 권한 변경에서 다중 서명은 트론 체인의 특징으로, 많은 피싱 웹사이트에서 피싱 공격자들은 사용자가 실수로 거래에 서명하는 경우 계정 권한 변경 거래로 위장합니다. 그러면 사용자의 계정은 다중 서명 계정이 되며 사용자는 자신의 계정에 대한 통제권을 잃게 됩니다. 둘째, solana 권한 변경 중에 피셔는 SetAuthority를 사용하여 사용자 토큰의 ATA 계정 소유자를 수정합니다. 사용자가 거래에 서명하면 ATA 계정의 소유자가 피셔가 되어 피셔가 다음을 수행할 수 있게 됩니다. 사용자의 자산.
기타 방법: 또한 프로토콜 자체의 설계 메커니즘 등의 문제로 인해 피싱 공격자에게 악용되기 쉽습니다. 이더리움 기반 미들웨어 프로토콜인 EigenLayer의 queueWithdrawal 호출을 통해 다른 주소를 출금자로 지정할 수 있으며 사용자는 거래에 서명하라는 피싱을 받았습니다. 7일 후, 지정된 주소는 CompleteQueuedWithdrawal을 통해 사용자의 약속된 자산을 얻습니다.
세 번째 카테고리는 니모닉 문구를 업로드하는 것입니다. 공격자는 일반적으로 사용자가 개인 키나 니모닉 문구를 업로드하도록 유도하기 위해 위장된 에어드롭 프로젝트나 가짜 새 도구를 제공합니다. 또한 플러그인 지갑 팝업으로 위장하여 사용자가 니모닉 단어를 업로드하도록 유도하는 경우도 있습니다.
Q4: 핫월렛과 콜드월렛의 공격 방식 차이
OKX Web3 보안팀: 핫 지갑과 콜드 지갑의 차이점은 개인 키가 저장되는 방식에 있습니다. 콜드 지갑의 개인 키는 일반적으로 오프라인에 저장되는 반면, 핫 지갑은 일반적으로 네트워크 환경에 저장됩니다. 따라서 콜드 지갑과 핫 지갑의 보안 위험은 다릅니다. 핫 지갑의 보안 위험은 이미 매우 포괄적이므로 확장되지 않을 것입니다.
콜드 지갑의 보안 위험은 주로 다음과 같습니다.
첫째, 사회공학 및 물리적 공격 위험, 거래 과정 위험 등이 있습니다. 소셜 엔지니어링 및 물리적 공격의 위험은 콜드 지갑이 일반적으로 오프라인에 저장되기 때문에 공격자가 소셜 엔지니어링 수단을 사용하여 친척이나 친구인 것처럼 가장하여 콜드 지갑에 접근할 수 있음을 의미합니다.
둘째, 물리적 장치로서 손상되거나 분실될 수 있습니다. 거래 과정의 위험과 관련하여, 거래 과정에서 콜드 지갑은 위에서 언급한 에어드랍, 유도된 서명 등 다양한 공격 방법에 직면하게 됩니다.
Q5 : 서두에서 언급한 고가치 지갑 개인키 증정처럼 대체 피싱 트랩은 어떤 것이 있나요?
SlowMist 보안팀: 네, 고의적으로 고가의 지갑 개인키를 유출하는 행위는 수년 전에 나타난 아주 전형적인 사례지만, 지금도 사람들은 여전히 속고 있습니다. 이 사기는 실제로 개인 키 니모닉을 고의로 유출하는 사기꾼입니다. 개인 키 니모닉을 지갑으로 가져온 후 공격자는 항상 지갑을 모니터링하고 ETH를 전송하는 즉시 귀하에게 전송합니다. 이러한 유형의 기술은 소소한 이익에 대한 사용자의 탐욕을 이용합니다. 더 많은 사람이 수입될수록 처리 수수료가 높아지고 손실도 커집니다.
둘째, 일부 사용자는 공격할 가치가 없습니다라고 생각합니다. 이러한 낮은 방어 사고방식은 사용자를 공격에 취약하게 만듭니다. 모든 개인의 정보(이메일, 비밀번호, 은행 정보 등)는 공격자에게 매우 중요합니다. 일부 사용자들은 스팸 이메일의 링크를 클릭하지 않으면 위협을 받지 않을 것이라고 생각하기도 합니다. 그러나 일부 피싱 이메일은 이미지나 첨부 파일을 통해 악성 코드를 심어줄 수도 있습니다.
마지막으로 우리는 보안에 대한 객관적인 이해가 필요합니다. 즉, 절대적인 보안은 없습니다. 게다가 피싱 공격 방법은 많이 발전했고 빠르게 발전하고 있습니다. 모든 사람이 가장 신뢰할 수 있는 보안 인식을 계속해서 학습하고 개선해야 합니다.
OKX Web3 보안 팀: 피싱 공격자들은 종종 사람들의 심리적 약점과 일반적인 보안 감독을 이용하기 때문에 제3자 피싱 함정을 예방하는 것은 실제로 복잡한 문제입니다. 많은 사람들이 평소에는 조심스러워하다가 갑자기 큰 파이를 만나면 경계심을 늦추고 탐욕스러운 성격을 증폭시켜 속이는 경우가 많다. 이 과정에서 인간 본성의 약점이 기술보다 더 커질 것입니다. 더 많은 보안 조치가 있더라도 사용자는 이를 잠시 동안 무시하게 될 것입니다. 우리는 공짜 점심은 없다는 사실을 이해하고 특히 블록체인의 어두운 숲에서는 경계심과 보안 위험에 항상 주의를 기울여야 합니다.
Q6 : 개인키 보안 강화를 위한 사용자 제안
SlowMist 보안팀: 이 질문에 답하기 전에 먼저 일반적인 공격이 사용자의 자산을 훔치는 방법을 정리하겠습니다. 공격자는 일반적으로 다음 두 가지 방법으로 사용자 자산을 훔칩니다.
방법 1: 사용자를 속여 도난당한 자산에 대한 악의적인 거래 데이터에 서명하도록 속입니다. 예를 들어 사용자를 속여 자산을 공격자에게 승인하거나 양도하도록 합니다.
방법 2: 가짜 지갑 페이지에서 사용자를 속여 지갑의 니모닉을 입력하도록 속이는 등 악성 웹사이트나 앱에서 사용자를 속여 지갑의 니모닉을 입력하도록 합니다.
공격자가 지갑 자산을 어떻게 훔쳤는지 파악한 후에는 가능한 위험에 대비해야 합니다.
예방조치 1: 당신이 본 것과 서명한 내용이 일치하는지 확인하십시오. Web3 세계로 진입하기 위한 열쇠는 지갑이라고 합니다. 사용자 상호 작용에서 가장 중요한 것은 블라인드 서명을 거부하는 것입니다. 서명하기 전에 서명 데이터를 식별하고 서명한 거래가 무엇인지 알아야 합니다. 서명을 포기하세요.
예방조치 2: 모든 계란을 같은 바구니에 담지 마십시오. 지갑은 다양한 자산과 사용 빈도에 따라 계층적으로 관리되어 자산 위험을 통제할 수 있습니다. 에어드랍 등의 활동에 참여하는 지갑은 사용 빈도가 높기 때문에 소액의 자산을 보관하는 것이 좋습니다. 대량의 자산은 일반적으로 자주 사용되지 않습니다. 콜드월렛에 보관하고, 사용 시 네트워크 환경과 물리적 환경이 안전한지 확인하는 것이 좋습니다. 가능하다면 하드웨어 지갑을 최대한 활용하세요. 하드웨어 지갑은 일반적으로 니모닉 단어나 개인 키를 직접 내보낼 수 없기 때문에 니모닉 개인 키 도난의 임계값이 높아질 수 있습니다.
예방법 3: 다양한 피싱 수법과 사건이 끊임없이 등장합니다. 사용자는 다양한 피싱 수법을 스스로 식별하고, 보안 인식을 높이고, 속지 않도록 자기 교육을 실시하고, 자기 구조 능력을 터득해야 합니다.
예방법 4: 불안해하지 말고, 욕심내지 말고, 여러 사람에게 검증을 받으세요. 또한 사용자가 보다 포괄적인 자산 관리 솔루션을 알고 싶다면 Slow Mist에서 제작한 암호화폐 보안 솔루션을 참조하고 보안 인식 및 자기 교육에 대해 자세히 알아보려면 블록체인 다크 포레스트를 참조하세요. 자가구조 매뉴얼 .
OKX Web3 보안 팀: 개인 키는 지갑의 암호화된 자산에 접근하고 제어하기 위한 유일한 인증서이므로 지갑 개인 키의 보안을 보호하는 것이 중요합니다.
예방조치 1: 당신의 DApp을 알아보세요. 온체인 DeFi 투자 시, 가짜 DApp 접속으로 인한 자산 손실을 방지하기 위해 사용 중인 DApp에 대한 포괄적인 이해가 필요합니다. OKX Web3 지갑은 DApp에 대한 다양한 전략적 위험 탐지 및 프롬프트를 수행했지만 공격자는 계속해서 공격 방법을 업데이트하고 보안 위험 탐지를 우회할 것입니다. 사용자는 투자할 때 눈을 뜨고 있어야 합니다.
예방 2: 서명을 알아 두십시오. 체인에서 거래에 서명할 때 사용자는 거래를 확인하고 거래 세부 사항을 이해했는지 확인해야 하며 이해할 수 없는 거래에 대해 주의해야 하며 맹목적으로 서명하지 않아야 합니다. OKX Web3 지갑은 온체인 거래와 오프라인 서명을 분석하고 실행을 시뮬레이션하며 자산 변경 및 인증 변경 결과를 표시합니다. 사용자는 거래 전에 기대치를 충족하는지 확인하기 위해 결과에 집중할 수 있습니다.
예방 3: 다운로드하는 소프트웨어를 이해하십시오. 보조 거래 및 투자 소프트웨어를 다운로드할 때는 반드시 공식 플랫폼에서 다운로드하고, 다운로드 후 즉시 바이러스 백신 소프트웨어를 사용하여 검사하십시오. 악성코드가 다운로드되면 트로이 목마는 스크린샷, 메모리 스캐닝, 캐시 파일 업로드를 통해 클립보드를 모니터링하여 사용자의 니모닉 문구나 개인 키를 획득합니다.
예방 4: 보안 인식을 높이고 개인 키를 적절하게 보관하십시오. 니모닉 문구, 개인 키 및 기타 중요한 정보를 복사하지 말고, 스크린샷을 찍지 말고, 그러한 정보를 타사 클라우드 플랫폼에 저장하지 마십시오.
예방 5: 강력한 비밀번호 및 다중 서명 비밀번호를 사용할 때 사용자는 해커가 개인 키 암호화 파일을 얻은 후 폭파하는 것을 방지하기 위해 비밀번호의 복잡성을 최대한 높여야 합니다. 거래 과정에서 다중 서명 메커니즘이 있는 경우 다중 서명을 사용해야 합니다. 이렇게 하면 한쪽의 니모닉 문구나 개인 키가 유출되더라도 전체 거래에 영향을 미치지 않습니다.
