가짜 지갑 주소를 식별하는 방법은 무엇입니까? 콜드월렛이 여전히 해킹될 위험이 있는 이유는 무엇입니까? 이러한 공격은 어떻게 발생합니까? 해커의 표적이 되는 사람들은 어떤 사람들일까요? 그러한 문제를 피하는 방법은 무엇입니까?

최근 Web3에서는 코인 도난 사건이 빈번히 발생하고 있으며, 특히 널리 알려진 '1155 WBTC 도난 사건'이 세간의 주목을 받고 있습니다. 암호화된 자산의 보호 역시 모든 사람의 관심의 초점이 되었습니다. 이 사건에 대응하여 PoPP와 OneKey는 온체인 보안 문제를 커뮤니티와 공유하기 위한 공간을 공동으로 개최했습니다. 이 공간은 유용한 정보로 가득 차 있었고 예방에 대한 인식이 부족한 신규 이민자들에게 대중적인 과학을 제공했습니다.

손님:

• PoPP CTO：네오

• OneKey Eco 헤드: Cavin

호스트 : JY

이 공간은 주로 다음 문제에 중점을 둡니다.

1. 가짜 지갑 주소를 식별하는 방법은 무엇입니까?

2. 암호화폐를 거래소에 보관할 때와 지갑에 보관할 때 어느 것이 더 안전한가요?

3. 콜드월렛이 여전히 해킹 위험에 노출되어 있는 이유는 무엇인가요? 이러한 공격은 어떻게 발생합니까?

4. 해커의 표적은 어떤 사람들입니까? 함정 거래를 피하고 함정에 발을 들여놓고 공유하시겠습니까?

5. 현재 PoPP는 많은 사용자를 확보하고 있으며 자산 보안을 어떻게 처리합니까?

1. 가짜 지갑 주소를 식별하는 방법은 무엇입니까?

가짜 지갑 주소를 식별하는 방법에 대해 Cavin은 두 가지 방법을 언급했습니다. 첫 번째는 위조를 방지하기 위해 송금 시 모든 숫자와 문자를 주의 깊게 교정하는 것입니다. 둘째, OKX 및 OneKey Classic을 포함하여 현재 주류 소프트웨어 지갑에는 모두 이 주소 라이브러리 기능이 있습니다. 자주 사용하는 주소를 이 주소 라이브러리에 넣어 올바른 주소를 빠르게 선택할 수 있습니다. 우리는 돈을 이체하기 전에 환경이 안전한지 확인하고 거래 기록에서 주소를 복사하지 않도록 모든 사람에게 상기시킵니다.

Neo는 공유에 몇 가지 다른 추가 사항을 추가했습니다. Neo는 팀의 개발자가 핫 지갑을 전혀 믿지 않는다고 말했습니다. 그는 자신의 노드 지갑을 사용하여 모든 전송을 수행하고 이를 제어하기 위해 미니 라인을 사용했습니다. 물론 우리와 같은 일반 사람들은 이것을 할 수 없습니다. 일반 사람들은 다음 네 가지 측면에서 예방 조치를 취할 수 있습니다.

• a. 먼저, 네트워크, VPN, 휴대폰, 컴퓨터 환경 등 안전한 환경을 확보하세요.

• b. 둘째, Apple 장치나 하드웨어 지갑과 같은 보안 장치를 선택합니다.

• Apple의 장치가 상대적으로 안전할 수 있다는 점에는 의심의 여지가 없으며 일부 하드웨어 지갑도 있습니다. Android에 다른 소프트웨어를 설치해야 하는 경우 하나 또는 두 개의 주류 지갑을 사용하는 것이 좋습니다. 니모닉을 자주 가져와야 하는 경우 임시 보드를 사용하지 마세요. 너무 많은 지갑을 다운로드하지 말고 앱 내에서만 업데이트하도록 모두에게 상기시켜주세요.

• c.또한 거래를 확인하기 전에 좋은 습관을 기르고 작은 테스트 전송을 수행하십시오. QR 코드를 스캔하여 상대방에게 송금하고, 송금 전후에 서로 확인하는 것이 좋습니다.

• d.마지막으로 각 전송 후 블록체인 브라우저를 확인하여 전송 세부정보를 확인하세요.

• 금액이 잘못되었거나, 대상 주소가 잘못되었다고 판단되는 경우, 이때 즉시 수정 조치를 취할 수 있습니다. 또한 새로운 거래를 즉시 시작하여 더 높은 가스 요금으로 이전 거래를 청산할 수도 있습니다. 여전히 복구가 가능하지만 일단 성공적으로 이전하거나 피싱 소프트웨어를 클릭하면 더 이상 할 수 있는 일이 없을 수도 있습니다.

2. 거래소 암호화폐와 지갑 중 어느 것이 더 안전한가요?

호스트 JY:

공유해 주신 Neo와 Cavin에게 감사드립니다. 거래소와 지갑 중 어느 것이 더 안전한지 질문하고 싶습니다.

캐빈:

보안 수준 측면에서는 하드웨어 지갑의 보안 수준이 가장 높습니다. 하드웨어 지갑은 핫월렛에 비해 사용기준과 운영 난이도가 높지만, 핫월렛만큼 편리하지는 않습니다.

거래소와 핫월렛은 보안성은 약간 떨어지지만 활용성은 뛰어납니다. Binance나 OKX와 같은 신뢰할 수 있는 거래소에 자금을 투자하는 것이 좋습니다. 단기적으로는 큰 문제가 없으나 완전히 신뢰할 수는 없습니다.

자금을 신뢰할 수 있는 거래소에 투자하고 너무 많이 투자하지 않는 것이 좋습니다. 일반적이지 않은 프로토콜의 경우 새로운 핫 지갑 격리 관리를 사용할 수 있습니다.

네오:

연구 개발의 기술적 수준에서 안전은 항상 상대적입니다. 절대적인 안전은 없으며 단지 비용의 문제일 뿐입니다.

지갑:

지갑에 넣어두면 인터넷에 손대지 않는 한 비교적 안전합니다. 그러나 다른 dApp과 상호작용하고 링크와 더 자주 상호작용한 후에는 보안 지수가 계속해서 하락할 것입니다.

교환:

암호화폐는 거래소의 핫월렛보다 상대적으로 안전하며, 거래소에는 단일 실패 지점이 없습니다. 귀하의 자산은 거래, 구매 또는 양도 시 손실되지 않습니다. 그리고 거래가 제공할 수 있는 이점은 보상금 지불 능력입니다. 거래소에서 돈을 잃어도 거래소에서 보상해드릴 수 있습니다.

JY 진행자: 예를 들어 내 지갑에는 많은 상호 작용과 승인이 있습니다. NFT 판매를 완료한 후 이전 승인을 취소할 수 있나요?

캐빈: 그렇죠. 계약 승인이 취소되었는지 정기적으로 확인하는 습관이 없다면 위험은 점차 증가할 것입니다.

3. 콜드월렛이 여전히 해킹 위험에 노출되어 있는 이유는 무엇인가요? 이러한 공격은 어떻게 발생합니까?

호스트 JY:

이해했다. OKX에서 OKX 지갑으로 자금을 거래하다가 126만 USDT를 잃은 친구가 있었는데, 직원이 2시간 동안 동결할 수 있다고 했는데, 그 친구가 이전에 자신의 돈이 콜드 지갑에 보관되어 있었다고 말했습니다. 콜드월렛이 여전히 해킹될 위험이 있는 이유는 무엇입니까? 이러한 공격은 어떻게 발생합니까?

캐빈:

콜드월렛과는 관련이 없는 것 같습니다. 자금 이체 중에 문제가 발생한 것일 수도 있습니다. 하드웨어 지갑은 일반적으로 칩 내에 개인 키나 니모닉 문구를 저장하여 보안을 제공합니다. 그러나 하드웨어 지갑을 사용할 경우에는 인터넷 연결이 필요하며 개인키가 브라우저 캐시나 데이터 파일에 저장되어 해커의 공격에 취약하다.

하드웨어 지갑은 소프트웨어 지갑과 함께 사용해야 하며 서명 과정은 하드웨어 지갑에서 완료되며 개인 키는 처음부터 끝까지 인터넷에 닿지 않습니다.

실제로 이 프로세스는 보안 칩(Secure)을 가지고 있으며, 서명 후 소프트웨어 지갑으로 서명이 완료됩니다. 지갑 지갑을 획득한 후 거래가 체인으로 전송됩니다. 따라서 서명 프로세스는 인터넷에 연결하지 않고도 하드웨어 지갑에서 수행됩니다.

하드웨어 지갑을 분실한 경우, 니모닉 문구를 새 하드웨어 지갑으로 가져오시면 됩니다. 그러나 해커가 자산을 훔치기 위해 지갑 잠금 해제 코드를 얻을 수 있는 사회 공학 공격의 위험이 있습니다.

하드웨어 지갑 설계 원칙은 보안을 강화하기 위해 거래 서명 프로세스 중에 2차 확인을 추가합니다. 공급망 공격과 내부자 공격도 위험하므로 오픈소스 하드웨어 지갑을 구입하는 것이 좋습니다. 하드웨어 지갑이 변조되지 않았음을 보장한다는 전제 하에 하드웨어 지갑을 분실하더라도 자산은 안전합니다.

호스트 JY:

하드웨어 지갑에는 온라인 서명이 필요하지만 100% 안전하지는 않습니다. 그러한 상황을 피하려면 어떻게 해야 합니까? 그것을 식별하는 다른 방법이 있습니까?

캐빈:

OneKey 제품은 EAL 6+ 인증을 획득했으며 매우 안전합니다. 해커가 하드웨어 지갑에서 개인 키를 내보내는 것은 어렵고 무차별 대입 크래킹은 극히 어렵습니다. 소프트웨어 지갑은 사이버 공격에 취약하며, 하드웨어 지갑은 이 프로세스를 격리합니다.

네오:

보안은 상대적이며 개인 키 시스템에 문제가 있습니다. 자산 관리에는 주의가 필요하며 모든 자산을 저장하기 위해 단일 장치에 의존하지 마십시오. 백업을 만들고 안전해 보이는 장치는 신뢰하지 마세요. 자산을 보다 효과적으로 관리할 수 있는 방법에 대한 솔루션을 제안해 드립니다.

4. 해커의 표적은 어떤 사람들입니까? 어떤 조건이 충족되나요?

진행자 JY: 어떤 사람들이 해커의 표적이 될까요? 어떤 조건이 충족되나요?

캐빈:

1155 WBTC 사례를 통해 우리는 해커가 공격을 수행하기 전에 해시 충돌을 수행하고 주소를 시뮬레이션했으며 아마도 수만 개의 주소를 캐스팅하는 광범위한 접근 방식을 채택했다고 추측합니다. 거래 회의 기록을 통해 해커의 상습적 행위를 파악할 수 있습니다. 사용자는 별도의 자금 관리, 다양한 시나리오에서 지갑 격리, 정기적인 주소 승인 상태 확인, 올바른 이체 및 거래 습관 개발 등을 포함한 보호 조치를 취해야 합니다.

네오:

해커는 인증 방법, 모의 전송 방법, 개인 키 도난 방법 등 피싱 링크를 배치하여 무차별적으로 자산을 훔칠 수 있습니다.

해커는 또한 개인을 표적으로 삼을 수도 있습니다. 체인에 더 많은 자금이 있다는 사실을 발견하면 공격을 시작하고 소셜 정보를 통해 일부 링크를 보낼 것입니다. 또는 USDT 구매, 이메일 보내기, 동료 시뮬레이션 등 다양한 방법으로 귀하로부터 물건을 훔칠 수 있습니다. 그러니 누구도 믿지 않도록 주의하고 익숙하지 않은 링크를 클릭하세요.

프로젝트 측에서는 해커가 계약 주소의 취약점을 찾아 공격할 수 있으며, 프로젝트 측에서는 감사를 실시하고 사용자 자산을 확인해야 합니다. 또한 해커들은 프로젝트 당사자의 고객 서비스 직원을 공격하고, 친구 추가, 메시지 보내기 등을 통해 컴퓨터에 침입하고, 인트라넷 정보를 탈취하여 자산을 탈취할 가능성이 높습니다. 많은 양의 자산을 보유한 기업과 사용자의 경우 해커가 조직적이고 계획적인 침입을 수행할 가능성이 더 높습니다. 팀은 교육을 받고 효과적인 예방 조치를 취해야 합니다.

사용자 A가 질문을 했습니다.

피싱 및 링크 공격을 식별하고 방지하는 방법은 무엇입니까?

네오:

첫째, 휴대폰이든 PC이든 링크가 유효한지 확실하지 않은 경우 Chrome의 개인정보 보호 모드 또는 익명 모드를 사용하여 링크를 열 수 있습니다.

둘째, 컴퓨터에 소프트웨어를 설치해야 할 경우 CMC와 같은 컬렉션을 사용하는 것이 좋습니다. 프로젝트의 트위터나 집계 플랫폼의 웹사이트에서 프라이빗 모드로 접근할 수 있습니다. 둘째, 빈 지갑 링크를 사용하세요. 육안으로 공식 주소를 식별하려면 일반적인 상황에서 공식 도메인 이름은 그리 복잡하지 않습니다.

캐빈:

보충: 일부 보안 플러그인을 설치할 수도 있습니다. 둘째, Google에서 프로젝트 웹사이트를 검색하는 것은 권장되지 않습니다.

사용자 B가 질문을 했습니다.

암호화폐 자산을 거래소에 배치하거나 현물 자산을 거래소에 배치하는 것이 안전한가요?

네오:

모든 거래소는 비교적 안전하므로 어느 거래소에 설치했는지 살펴봐야 합니다. Binance와 같은 일부 거래소에는 소량의 자산을 잃어도 보상할 수 있는 특정 보상 기능이 있습니다. 그러나 계약의 자산은 실제로 사라질 수 있습니다. 소규모 거래소가 도망가는 것은 정상적인 일이며, 소규모 거래소는 해커의 공격을 견디지 못하거나 도난당할 수도 있다는 점을 참고하시기 바랍니다. 보상 지급 능력이 있는 주류 거래소에 배치하는 것이 좋습니다.

5. 현재 PoPP는 많은 사용자를 확보하고 있으며 자산 보안을 어떻게 처리합니까?

진행자 JY: 현재 PoPP에도 많은 사용자가 모였습니다. 자산 보안은 어떻게 처리하나요?

네오:

우리는 자산 보안을 최우선으로 생각하며, 우리가 취한 주요 조치는 다음과 같습니다.

첫 번째는 전체 계정 시스템의 보안 관리입니다.

현재는 MPC 방식을 사용하여 계정 시스템을 관리하고 있으며, 버전 2.0, 즉 Q2, Q3에 다시 업데이트할 예정입니다. 개인적으로 현재 EOA 계정을 자산 관리 수단으로 활용하는 데는 일정한 문제가 있다고 생각하므로 EUA 계정과 스마트 컨트랙트 계정을 최대한 활용하고 개인 키는 서명 목적으로만 사용하는 것이 더 안전한 방법입니다. 또한 자산과 운영을 분리하는 것이 합리적입니다. 하드웨어 지갑과 소프트웨어 지갑 모두 개인 키의 보안을 향상시킬 수 있습니다. 스마트 계약에 자금을 투입하는 것이 더 안전합니다. 계정 시스템에서는 MPC 솔루션을 사용하고 개인 키를 세 부분으로 나누어 보안을 강화할 예정입니다. (예를 들어 본인의 개인키가 유출되거나, 플랫폼의 개인키가 유출된 경우 서명 과정을 완료할 수 없습니다. 일부는 보안기관에 제공되기 때문입니다.)

스마트 컨트랙트 계정은 소셜 계정과 가상 계정으로 구분됩니다. 소셜 계정은 ERC-6551 프로토콜을 사용하여 소셜 자산을 저장하며 상호 작용 과정에서 다중 서명 및 확인을 수행할 수 있습니다. (거래 시 특정 개인키가 유출된 경우 전체 자산 손실 없이 개인키를 변경할 수 있습니다.) 또 하나는 인기 있는 ERC-4337 가상계좌입니다. 현재는 사용 시나리오가 많지 않지만 가상 계정은 점차 계정 시스템을 더욱 지능적으로 만드는 잠재적인 개발 추세입니다. 현재 우리는 주로 ERC-6551을 사용하여 소셜 계정의 스마트 계약을 지원합니다.

둘째, 상호작용 과정의 보안입니다.

상호 작용 레이어에서 더 많은 자산 손실이 발생했음을 확인하여 PoPP 버전 2.0에서는 프로젝트 당사자 정보에 액세스할 수 있는 소셜 플러그인을 출시할 예정입니다. 상호 작용할 때 당사의 소셜 플러그인은 라이센스 비용 화이트리스트가 필요한 프로젝트를 식별하고 조기 경고를 발행합니다. 또한 내장된 DEID 및 플러그인을 통해 상호 작용 프로세스 내에서 격리 계층을 제공하여 사용자의 자산과 소셜 ID를 보호합니다.

마지막으로 AI 정보 소스가 있습니다. PoPP는 보안 프로젝트 당사자 및 데이터 당사자와 협력하여 사용자가 보안 정보를 얻을 수 있도록 화이트리스트 및 블랙리스트 정보를 공개합니다. 이 세 가지 수준을 통해 우리는 사용자 자산과 소셜 경험의 보안을 보장하기 위해 최선을 다하고 있습니다. 들어주셔서 감사합니다.