I. 개요
2024년 상반기 해킹공격, 피싱공격, 러그풀사기 등으로 인한 손실액은 약 14억 9200만 달러로, 2023년 상반기(약 6억 9000만 달러) 대비 116.23% 증가했다. 본 보고서는 2024년 상반기 글로벌 Web3 산업 보안 현황, 인기 이벤트, 암호화 업계 주요 규제 정책 등을 정리하고 분석하는 것을 목표로 합니다. 본 보고서가 독자들에게 유용한 정보와 아이디어를 제공하고 Web3의 안전하고 건전한 발전에 기여할 수 있기를 바랍니다.
2. 동향 분석
SharkTeam의 온체인 지능형 위험 식별 플랫폼 ChainAegis의 데이터에 따르면 2024년 상반기 Web3 분야에서 총 551건의 보안 사고가 발생했으며(그림 1), 누적 손실액은 14억 9200만 달러가 넘습니다(그림 2). ) 전년 동기 대비 보안사고 건수는 25.51%, 손실액은 116.23% 증가했다.
그림 1 2024년 상반기 총 보안사고 건수 1
그림 2 2024년 상반기 보안 사고 총 손실 1
2024년 상반기에는 해커공격형 보안사고가 총 134건 발생해 2023년 상반기 대비 103.03% 증가했고, 손실액은 10억 8천만 달러로 73%를 차지했다(그림 3 비교). 2023년 H1(4억3600만명)으로 전년 동기 대비 147.71% 증가했다.
상반기 러그풀(Rug Pull) 건수는 총 243건으로 2023년 상반기 61건보다 331.15% 급증했고, 손실액도 258.82% 증가해 총 1억2200만달러(약 8%)를 차지했다. H1 손실 금액 전체.
상반기에는 총 174건의 피싱 공격이 발생해 전년 동기 대비 40.32% 증가했으며, 손실액은 2억9천만 달러로 19%를 차지했다.
그림 3 2024년 상반기 공격 유형별 손실액 1
그림 4 2024년 상반기 공격 유형별 횟수 1
H 1 월별(그림 5, 그림 6)을 보면 5월 손실액이 약 6억 4300만 달러로 가장 심각했으며, 해커 공격 31건, 러그풀 공격 34건, 피싱 공격 27건 등 보안사고가 92건 발생했다. .
그림 5 2024년 H1 Web3 보안 사고 손실 개요
그림 6 2024년 H1 Web3 보안 사고 건수 개요
2.1 해커 공격
올 상반기에는 총 134건의 해커 공격이 발생해 총 10억8000만 달러의 피해를 입었다. (구체적인 데이터는 그림 7 참조)
2024년 5월 21일, 이더리움의 Gala Games 프로토콜이 해킹되어 2,180만 달러의 손실이 발생했습니다. 공격 후 프로젝트 팀은 즉각적인 조치를 취하고 해커의 주소를 블랙리스트에 올렸으며 더 많은 토큰 판매를 동결했습니다.
2024년 5월 31일 일본 증권사 DMM.com의 자회사인 DMM 비트코인 거래소에서 대규모의 비트코인 무단 유출이 발생했습니다. 유출 금액은 약 480억 엔(약 3억 달러)에 달합니다. 이번 암호화폐 공격 사건은 2022년 12월 이후 가장 큰 피해를 입힌 공격이기도 합니다.
그림 7 2024년 상반기 월별 해킹 개요
2.2 난폭한 행위 및 사기
아래 그림(그림 8)에서 볼 수 있듯이 3월의 Rugpull Scam 사건 빈도는 63건으로 가장 높았으며, 6월의 빈도가 가장 낮았으며, 총 24건의 피해가 발생한 해가 가장 높았습니다. 4월에는 약 4,745만 달러(약 4,745만 달러)가 발생했으며 이 중 ZKasino 프로젝트 측이 도주했습니다. 이 사건은 4월 최대 손실의 주요 원인이었습니다.
그림 8 2024년 상반기 RugpullScam의 월별 개요 1
2.3 피싱 공격
아래 그림(그림 9)에서 볼 수 있듯이 피싱 공격은 1월에 가장 많이 발생하여 총 39건으로 약 4,415만 달러의 손실을 입혔습니다. 2,834만 달러. 5월에는 피싱 사건이 27건에 불과했지만 이로 인해 발생한 손실액은 1억 800만 달러로 상반기에 가장 높았습니다. 이 중 2024년 5월 3일에는 주소 오염 피싱 수법으로 인해 한 사용자가 7천만 달러 이상의 가치가 있는 1155 WBTC를 피싱당했습니다.
그림 9 2024년 상반기 월별 피싱 현황 1
3. 대표적인 사례분석
3.1 Sonne Finance 공격 사고 분석
2024년 5월 15일 Sonne Finance가 공격을 받아 프로젝트에서 미화 2천만 달러 이상의 손실을 입었습니다.
공격자: 0xae4a7cde7c99fb98b0d5fa414aa40f0300531f43
공격 트랜잭션:
0x9312ae377d7ebdf3c7c3a86f80514878deb5df51aad38b6191d55db53e42b7f0
공격 과정은 다음과 같습니다.
1. 35, 569, 150 VELO를 플래시 대출하고 이 VELO 토큰을 soVELO 계약으로 이전합니다.
직접 이체(기부)이기 때문에 soVELO 토큰은 발행되지 않습니다. 따라서 soVELO 계약에서 totalCash는 35, 569, 150VELO만큼 증가했으며 soVELO의 totalSupply는 변경되지 않았습니다.
2. 공격자는 새 계약 0xa16388a6210545b27f669d5189648c1722300b8b를 생성하고 새 계약에서 대상 계약에 대한 공격을 시작합니다. 공격 프로세스는 다음과 같습니다.
(1) 2 soVELO를 새로운 계약으로 이전
(2) soWETH, soVELO를 담보로 선언
(3) soWETH 265, 842, 857, 910, 985, 546, 929 WETH에서 차입
위의 빌림 함수 실행 프로세스에서 getAccountSnapshot 함수의 반환 값을 기반으로 다음을 발견했습니다.
soWETH 계약의 경우 신규 계약잔액은 0, 대출금액은 0, 환율(exchangeRate)은 208, 504, 036, 856, 714, 856, 032, 085, 073 입니다.
soVELO 계약의 경우 신규 계약 잔액은 2, 즉 soVELO의 2wei가 담보로 잡혀 있고 대출금액은 0이며 환율(exchangeRate)은 17, 735, 851, 964, 756, 377, 265이며, 143, 988, 000, 000, 000, 000, 000, 000
exchangeRate는 다음과 같이 계산됩니다.
soVELO 1wei를 담보로 설정하면 17, 735, 851, 964, 756, 377, 265, 143, 988 VELO까지 빌릴 수 있으며 265, 842, 857, 910, 985, 546, 929 WETH를 빌릴 수 있습니다. 최소 265, 842, 857, 910, 985, 546, 929 soWETH를 모기지해야 합니다.
soWETH의 가격: soWETHPrice = 2, 892, 868, 789, 980, 000, 000, 000,
soVELO 가격: soVELOP가격 = 124, 601, 260, 000, 000, 000
soVELO가 1wei 모기지로 빌릴 수 있는 WETH 금액은 다음과 같습니다.
1 * exchangeRate * soVELOPrice / soWETHPrice = 763, 916, 258, 364, 900, 996, 923
약 763WETH. soVELO 담보 1wei만으로도 이 대출을 지원할 수 있습니다.
265, 842, 857, 910, 985, 546, 929 WETH(약 265 WETH)를 차입하면 담보로 필요한 soVELO의 최소 금액은 다음과 같습니다.
265, 842, 857, 910, 985, 546, 929 * soWETHPrice / soVELOPrice / exchangeRate = 0.348
즉, soVELO 담보 1wei이면 충분합니다.
실제로 soVELO 담보 2wei는 1wei만 차입하는데 사용되었습니다.
(4) 기초 자산 즉 35, 471, 603, 929, 512, 754, 530, 287, 976 VELO를 상환합니다.
exchangeRate = 17, 735, 851, 964, 756, 377, 265, 143, 988, 000, 000, 000, 000, 000, 000
35, 471, 603, 929, 512, 754, 530, 287, 976 VELO를 상환하는 데 필요한 soVELO 담보 금액은 다음과 같습니다.
35, 471, 603, 929, 512, 754, 530, 287, 976 * 1 e 18 / 교환율 = 1.99999436
계산 시 반올림 대신 잘림을 사용하므로 실제 계산된 필수 담보는 1wei의 soVELO입니다.
실제 담보는 soVELO 2 wei이며, 그 중 1 wei는 위의 265 WETH 대출에 사용되고 나머지 1 wei는 35 M VELO 상환에 사용됩니다.
(5) 빌린 265 WETH와 상환된 35 M VELO를 공격 계약으로 이체
3. 3회(총 4회) 반복하여 새로운 계약을 생성하고 공격을 반복합니다.
4. 마지막으로 플래시론을 상환합니다.
5. 취약점 분석
위 공격에서는 두 가지 취약점이 악용되었습니다.
(1) 기부 공격: VELO 토큰을 soVELO 계약으로 직접 전송(기부)하고 exchangeRate를 변경하여 공격자가 1 wei soVELO를 담보로 약 265 WETH를 빌려줄 수 있습니다.
(2) 계산 정확도 문제: 계산 과정 중 정확도 손실과 수정된 exchangeRate를 사용하면 1 wei soVELO 담보로 35M VELO를 상환할 수 있습니다.
6. 안전 권장사항
이 공격에 대응하여 우리는 개발 과정에서 다음과 같은 예방 조치를 따라야 합니다.
(1) 프로젝트의 설계 및 개발 과정에서 논리의 무결성과 엄격함이 유지되어야 하며, 특히 보증금, 담보, 상태 변수 업데이트 문제, 곱셈과 나눗셈 계산 결과의 트레이드오프 문제가 중요합니다. 계산 과정에서 가능한 한 많은 상황을 고려하여 논리가 완전하고 허점이 없도록 해야 합니다.
(2) 프로젝트가 온라인으로 진행되기 전에 제3자 전문 감사 회사를 통해 스마트 계약 감사를 수행해야 합니다.
3.2 Web3의 일반적인 피싱 방법 분석 및 보안 제안
Web3 피싱은 Web3 사용자를 대상으로 하는 일반적인 공격 방법으로 사용자의 지갑에 있는 암호화된 자산을 훔칠 목적으로 사용자의 인증 및 서명을 도용하거나 오작동을 유도하는 등 다양한 방법을 사용합니다.
최근에는 Web3 피싱 사건이 계속해서 나타나고 있으며, DaaS(Drainer as a Service)라는 블랙 산업 체인이 발전하여 심각한 보안 상황을 야기하고 있습니다.
이 기사에서 SharkTeam은 일반적인 Web3 피싱 방법을 체계적으로 분석하고 참고할 수 있는 보안 예방 조치를 제공하여 사용자가 피싱 사기를 더 잘 식별하고 암호화된 자산의 보안을 보호할 수 있도록 돕습니다.
오프체인 서명 피싱 허용
허가는 ERC-20 표준에 따른 승인을 위한 확장 기능입니다. 간단히 말해서, 토큰 이동을 위해 다른 주소를 승인하기 위해 서명할 수 있습니다. 원칙은 서명을 사용하여 승인된 주소가 이 서명을 통해 귀하의 토큰을 사용할 수 있음을 나타내는 것입니다. 그런 다음 승인된 주소는 귀하의 서명을 받아 온체인 허가 상호 작용을 수행하고 통화 승인을 얻어 자산을 전송할 수 있습니다. 오프체인 서명 피싱 허용은 일반적으로 세 단계로 나뉩니다.
(1) 공격자는 사용자가 지갑을 통해 서명하도록 유도하기 위해 피싱 링크 또는 피싱 웹사이트를 위조합니다(계약 상호작용 없음, 온체인 없음).
(2) 공격자는 허가를 완료하기 위해 허가 함수를 호출한다.
(3) 공격자는 transferFrom 함수를 호출하여 피해자의 자산을 이전하고 공격을 완료합니다.
먼저 transfer와 transferFrom의 차이점을 설명하겠습니다. ERC 20을 직접 전송할 때 일반적으로 ERC 20 계약에서 전송 기능을 호출하며, transferFrom은 일반적으로 제3자가 지갑에 있는 ERC 20을 다른 사람에게 전송하는 권한을 부여합니다. 구애.
이 서명은 가스가 없는 오프체인 서명입니다. 공격자는 온체인 상호작용에서 허가 및 전송을 수행합니다. 따라서 승인 기록은 피해자 주소의 온체인 기록에서 볼 수 없지만 가능합니다. 공격자의 주소에 표시됩니다. 일반적으로 이 서명은 일회성으로 사용되며 반복적이거나 지속적인 피싱 위험을 일으키지 않습니다.
2개의 오프체인 서명 피싱 허용
Permit 2는 사용자의 편의를 위해 Uniswap이 2022년 말 출시한 스마트 계약으로, 앞으로 점점 더 많은 프로젝트가 협력할 예정이므로 토큰 인증을 여러 DApp에서 공유하고 관리할 수 있도록 하는 토큰 승인 계약입니다. Permit 2 통합을 통해 Permit 2 계약은 DApp 생태계에서 보다 통합된 인증 관리 경험을 달성하고 사용자 거래 비용을 절약할 수 있습니다.
Permit 2가 등장하기 전에는 Uniswap의 토큰 교환에는 승인(Approve)과 교환(Swap)이 필요했는데, 이는 두 번의 작업과 두 번의 거래에 대한 가스 수수료가 필요했습니다. Permit 2가 출시된 후 사용자는 Uniswap의 Permit 2 계약에 대한 모든 할당량을 한 번에 승인할 수 있으며, 이후의 각 교환에는 오프체인 서명만 필요합니다.
Permit 2는 사용자 경험을 개선했지만 Permit 2 서명을 표적으로 삼는 피싱 공격이 이어졌습니다. Permit 오프체인 서명 피싱과 유사하게 Permit 2도 오프체인 서명 피싱입니다. 이 공격은 주로 4단계로 나뉩니다.
(1) 전제 조건은 피싱 공격을 받기 전에 사용자의 지갑이 Uniswap을 사용했으며 Uniswap의 Permit 2 계약에 대한 토큰 한도를 승인했다는 것입니다(Permit 2를 사용하면 기본적으로 사용자가 전체 토큰 잔액을 승인할 수 있습니다).
(2) 공격자는 피싱 링크나 피싱 페이지를 위조하여 사용자의 서명을 유도합니다. 피싱 공격자는 오프체인 서명 피싱 허용과 유사하게 필요한 서명 정보를 얻습니다.
(3) 공격자는 허가를 완료하기 위해 Permit 2 계약의 허가 기능을 호출합니다.
(4) 공격자는 Permit 2 계약의 transferFrom 함수를 호출하여 피해자의 자산을 외부로 전송하고 공격을 완료합니다.
일반적으로 공격자가 자산을 수신하는 주소는 여러 개가 있습니다. 일반적으로 가장 많은 금액을 받는 수신자 중 하나는 피싱을 구현하는 공격자이고 나머지는 서비스형 피싱(phishing-as-a-service DaaS)을 제공하는 블랙 주소입니다. 공급자 주소(예: PinkDrainer, InfernoDrainer, AngelDrainer 등).
eth_sign 온체인 블라인드 사인 낚시
eth_sign은 모든 해시에 서명할 수 있는 개방형 서명 방법입니다. 공격자는 서명이 필요한 악성 데이터(예: 토큰 전송, 계약 호출, 권한 획득 등)를 구성하고 사용자가 eth_sign을 통해 서명하도록 유도하기만 하면 됩니다. 공격을 완료할 수 있습니다.
MetaMask는 eth_sign에 서명할 때 위험 경고를 표시합니다. imToken 및 OneKey와 같은 Web3 지갑은 이 기능을 비활성화했거나 위험 경고를 제공했습니다. 보안 인식 부족이나 필요로 인해 사용자가 공격당하는 것을 방지하기 위해 모든 지갑 제조업체는 이 방법을 비활성화하는 것이 좋습니다. 기술 축적.
personal_sign/signTypedData 온체인 서명 피싱
personal_sign 및 signTypedData는 일반적으로 사용되는 서명 방법입니다. 일반적으로 사용자는 개시자, 도메인 이름, 서명 내용 등이 안전한지 주의 깊게 확인해야 하며, 위험할 경우 각별히 주의해야 합니다.
또한, 위 상황에서 personal_sign과 signTypedData를 블라인드 시그니처로 사용하게 되면 사용자는 일반 텍스트를 볼 수 없게 되어 피싱조직이 쉽게 이용하게 되고 피싱 위험도 높아지게 된다.
허가된 낚시
공격자는 악의적인 웹사이트를 위조하거나 공식 프로젝트 웹사이트에 말을 걸어 사용자에게 setApprovalForAll, Approve, 승인증가, 허용량증가 등의 작업 확인을 유도하고 사용자의 자산 운용 권한을 획득하여 도난을 저지릅니다.
공해 피싱 해결
주소 오염 피싱 역시 최근 만연한 피싱 수법 중 하나이다. 공격자는 온체인 거래를 감시한 후 대상 사용자의 거래 내역 중 상대방 주소를 기반으로 악성 주소를 위조하는 경우가 많다. 숫자는 올바른 상대와 관련되어 있으며, 이러한 악의적인 위조 주소는 대상 사용자 주소로 소량 또는 가치 없는 토큰을 전송하는 데 사용됩니다.
대상 사용자가 개인적인 습관으로 인해 후속 거래에서 전송하기 위해 과거 거래 주문에서 상대방의 주소를 복사하는 경우 부주의로 인해 자산이 악의적인 주소로 실수로 전송될 가능성이 매우 높습니다.
2024년 5월 3일, 이 주소의 오염된 피싱 수법으로 인해 미화 7천만 달러 이상의 가치가 있는 1155 WBTC가 피싱을 당했습니다.
올바른 주소: 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91
악성 주소: 0xd9A1C3788D81257612E2581A6ea0aDa244853a91
일반 거래:
https://etherscan.io/tx/0xb18ab131d251f7429c56a2ae2b1b75ce104fe9e83315a0c71ccf2b20267683ac
주소 오염:
https://etherscan.io/tx/0x87c6e5d56fea35315ba283de8b6422ad390b6b9d8d399d9b93a9051a3e11bf73
잘못된 거래:
https://etherscan.io/tx/0x3374abc5a9c766ba709651399b6e6162de97ca986abc23f423a9d893c8f5f570
CREATE 2를 사용하여 보안 탐지를 우회하는 보다 미묘한 피싱
현재 다양한 지갑과 보안 플러그인은 피싱 블랙리스트 및 일반적인 피싱 방법에 대한 시각적 위험 알림을 점차적으로 구현하고 있으며 서명 정보도 점점 더 완벽하게 표시하여 일반 사용자의 피싱 공격 식별 능력을 향상시켰습니다. 그러나 공격적 기술과 방어적 기술은 항상 서로 경쟁하며 끊임없이 발전하고 있으며, 더욱 은밀한 피싱 수법도 끊임없이 등장하고 있으므로 더욱 경계할 필요가 있습니다. CREATE 2를 사용하여 지갑 및 보안 플러그인의 블랙리스트 감지를 우회하는 것은 최근 비교적 일반적인 방법입니다.
Create 2는 사용자가 이더리움에서 스마트 계약을 생성할 수 있도록 하는 이더리움 콘스탄티노플 업그레이드에 도입된 opcode입니다. 원래 Create opcode는 작성자의 주소를 기반으로 새 주소를 생성하며 Create 2를 사용하면 계약 배포 전에 주소를 계산할 수 있습니다. Create 2는 이더리움 개발자를 위한 매우 강력한 도구로, 고급스럽고 유연한 계약 상호 작용, 매개변수 기반 계약 주소 사전 계산, 오프체인 트랜잭션, 특정 분산 애플리케이션의 유연한 배포 및 적용을 가능하게 합니다.
Create 2는 이점을 제공하지만 새로운 보안 위험도 제공합니다. Create 2는 지갑 블랙리스트 감지 및 보안 경고를 우회하여 악의적인 거래 기록 없이 새 주소를 생성하는 데 악용될 수 있습니다. 피해자가 악의적인 거래에 서명하면 공격자는 미리 계산된 주소에 계약을 배포하고 피해자의 자산을 해당 주소로 전송할 수 있으며 이는 되돌릴 수 없는 프로세스입니다.
이 공격의 특징은 다음과 같습니다.
계약 주소의 예측 생성을 허용하여 공격자가 계약을 배포하기 전에 사용자를 속여 권한을 부여하도록 할 수 있습니다.
승인 시점에 컨트랙트가 배포되지 않았기 때문에 공격 주소는 새로운 주소이며, 탐지 도구는 과거 블랙리스트를 기반으로 조기 경고를 제공할 수 없으므로 더 은폐하기 쉽습니다.
다음은 CREATE 2를 사용한 피싱의 예입니다.
https://etherscan.io/tx/0x83f6bfde97f2fe60d2a4a1f55f9c4ea476c9d87fa0fcd0c1c3592ad6a539ed14
이번 거래에서 피해자는 해당 주소의 sfrxETH를 거래 기록이 없는 새로운 컨트랙트 주소인 악성 주소(0x4D9f77)로 전송했다.
그런데 이 컨트랙트의 생성 트랜잭션을 열어보면 해당 컨트랙트가 생성과 동시에 피싱 공격을 완료하여 피해자의 주소에서 자산을 이체한 것을 확인할 수 있습니다.
https://etherscan.io/tx/0x77c79f9c865c64f76dc7f9dff978a0b8081dce72cab7c256ac52a764376f8e52
이 트랜잭션의 실행을 보면 CREATE 2를 호출한 후 0x4d9f7773deb9cc44b34066f5e36a5ec98ac92d40이 생성된 것을 확인할 수 있습니다.
또한, PinkDrainer의 관련 주소를 분석한 결과, 이 주소는 CREATE 2를 통해 매일 새로운 피싱용 계약 주소를 생성하고 있음을 알 수 있다.
https://etherscan.io/address/0x5d775caa7a0a56cd2d56a480b0f92e3900fe9722#internaltx
서비스로서의 피싱
피싱 공격이 점점 더 만연해지고 있으며 막대한 불법 이익으로 인해 DaaS(Drainer as a Service)를 기반으로 하는 블랙 산업 체인이 점차 발전했습니다.
Inferno/MS/Angel/Monkey/Venom/Pink/Pussy/Medusa 등 피싱 공격자는 이러한 DaaS 서비스를 낮은 임계값으로 신속하게 구매하여 수천 개의 피싱 웹사이트, 사기 계정 등을 구축합니다. 업계, 사용자 자산의 보안을 위협합니다.
다양한 웹사이트에 악성 스크립트를 삽입하는 악명 높은 피싱 조직인 Inferno Drainer를 예로 들어 보겠습니다. 예를 들어 seaport.js, coinbase.js, wallet-connect.js를 확산시켜 인기 있는 Web3 프로토콜 기능(Seaport, WalletConnect, Coinbase)으로 위장하여 사용자의 통합이나 클릭을 유도합니다. 사용자 자산을 공격자의 주소로 자동 전송합니다. 악성 Seaport 스크립트를 포함하는 14,000개 이상의 웹사이트, 악성 WalletConnect 스크립트를 포함하는 5,500개 이상의 웹사이트, 악성 Coinbase 스크립트를 포함하는 550개 이상의 웹사이트, Inferno Drainer와 관련된 16,000개 이상의 악성 도메인, 100개 이상의 암호화폐 브랜드가 발견되었습니다. 브랜드가 영향을 받았습니다.
서비스형 피싱(Phishing-as-a-Service) 프레임워크에서는 일반적으로 도난당한 자산의 20%가 자동으로 인페르노 드레이너(Inferno Drainer) 구성 주소로 이전되고 나머지 80%는 피싱 가해자가 보유합니다. 또한 Inferno Drainer는 피싱 웹사이트를 생성하고 호스팅하는 무료 서비스를 정기적으로 제공합니다. 때로는 피싱 서비스에서 사기당한 자금의 30%를 수수료로 요구하기도 합니다. 이러한 피싱 웹사이트는 피해자의 방문을 유도할 수는 있지만 생성 및 호스팅 능력이 부족한 사람들을 위한 것입니다. 웹 사이트를 호스팅할 수 있는 기술적 능력이 있거나 단순히 작업을 직접 수행하기를 원하지 않는 피싱 공격자가 설계했습니다.
그렇다면 이 DaaS 사기는 어떻게 작동합니까? Inferno Drainer의 암호화폐 사기 계획에 대한 단계별 설명은 다음과 같습니다.
1) Inferno Drainer는 Inferno Multichain Drainer라는 Telegram 채널을 통해 서비스를 홍보하며, 때로는 공격자가 Inferno Drainer의 웹 사이트를 통해 서비스에 액세스하기도 합니다.
2) 공격자는 DaaS 서비스 기능을 통해 자신의 피싱 사이트를 구축, 생성하고 이를 X(트위터), 디스코드 등 소셜미디어를 통해 유포한다.
3) 피해자는 이러한 피싱 웹사이트에 포함된 QR 코드나 기타 수단을 스캔하여 지갑에 연결하도록 유도됩니다.
4) Drainer는 피해자의 가장 가치 있고 쉽게 양도할 수 있는 자산을 확인하고 악의적인 거래를 시작합니다.
5) 피해자가 거래를 확인합니다.
6) 자산이 범죄자에게 양도됩니다. 도난당한 자산 중 20%는 Inferno Drainer 개발자에게, 80%는 피싱 공격자에게 전달되었습니다.
보안 조언
(1) 우선, 사용자는 보상, 에어드랍 등 좋은 소식을 가장한 알 수 없는 링크를 클릭해서는 안 됩니다.
(2) 공식 소셜 미디어 계정을 도난당하는 사건이 증가하고 있으며 공식 정보도 피싱 정보일 수 있으며 공식 정보가 절대적으로 안전하다는 의미는 아닙니다.
(3) 지갑, DApp 및 기타 애플리케이션을 사용할 때 위조 사이트 및 가짜 앱을 선별하고 조심해야 합니다.
(4) 확인이 필요한 거래 또는 서명 메시지는 주의가 필요하며 대상, 내용 및 기타 정보를 교차 확인하도록 노력해야 합니다. 맹목적으로 서명하는 것을 거부하고 경계심을 유지하며 모든 것을 의심하고 작업의 모든 단계가 명확하고 안전한지 확인하십시오.
(5) 또한, 사용자는 본 글에서 언급한 일반적인 피싱 공격 방법을 이해하고 피싱 특성을 사전에 식별하는 방법을 배워야 합니다. 마스터 공통 서명, 인증 기능 및 해당 위험, 마스터 Interactive(인터랙티브 URL), 소유자(인증자 주소), 지출자(인증된 당사자 주소), Value(인증 번호), Nonce(난수), Deadline(만료 시간), 전송/ transferFrom(전송) 및 기타 필드 내용.
4. FIT 21 법안 분석
2024년 5월 23일, 미국 하원은 FIT 21 암호화법(21세기 금융 혁신 및 기술법)을 찬성 279표, 반대 136표로 공식 통과시켰습니다. 조 바이든 미국 대통령은 법안에 거부권을 행사하지 않겠다고 밝혔으며 의회에 “디지털 자산에 대한 포괄적이고 균형 잡힌 규제 프레임워크”에 협력할 것을 촉구했습니다.
FIT 21은 미국에서 블록체인 프로젝트를 안전하고 효과적으로 시작할 수 있는 방법을 제공하고, 미국 증권거래위원회(SEC)와 상품선물거래위원회(CFTC) 간의 책임 경계를 명확히 하고, 디지털 자산이 디지털 자산인지 여부를 구별하는 것을 목표로 합니다. 미국 소비자를 더 잘 보호하기 위해 암호화폐 거래소에 대한 규제를 강화합니다.
4.1 FIT 21 법안의 주요 내용은 무엇입니까?
디지털 자산의 정의
법안 원문: 일반. - 디지털 자산이라는 용어는 중개자에 대한 의존 없이 사람 대 사람으로 독점적으로 소유 및 양도할 수 있고 암호로 보호되는 대중에 기록되는 대체 가능한 디지털 가치 표현을 의미합니다. 분산 원장.
법안은 디지털 자산을 중개자에 의존하지 않고 사람 간에 전송할 수 있고 암호화로 보호되는 공개 분산 원장에 기록되는 교환 가능한 디지털 표현으로 정의합니다. 이 정의는 암호화폐부터 토큰화된 물리적 자산까지 광범위한 디지털 형태를 포괄합니다.
디지털 자산의 분류
이 법안은 디지털 자산이 증권인지 상품인지 구별하기 위한 몇 가지 핵심 요소를 제안합니다.
(1) 투자계약(The Howey Test)
디지털 자산의 구매가 투자로 간주되고 투자자가 기업가 또는 제3자의 노력을 통해 이익을 얻을 것으로 기대하는 경우 해당 자산은 일반적으로 유가 증권으로 간주됩니다. 이는 일반적으로 Howey 테스트로 알려진 SEC 대 WJ Howey Co.의 미국 대법원에서 확립된 표준을 기반으로 합니다.
(2) 이용 및 소비
디지털 자산이 특정 서비스나 제품을 구매하는 데 사용될 수 있는 토큰과 같이 시세차익을 기대하는 투자가 아닌 상품이나 서비스를 소비하기 위한 매체로 주로 사용되는 경우, 실제 시장에서는 이러한 자산이 투기적으로 구입하고 보유할 수 있지만 설계 및 주요 목적의 관점에서 볼 때 증권으로 분류되지 않고 상품 또는 기타 비담보 자산으로 분류될 수 있습니다.
(3) 분권화 정도
이 법안은 특히 블록체인 네트워크의 분산화 정도를 강조합니다. 디지털 자산 뒤에 있는 네트워크가 고도로 분산되어 있고 네트워크나 자산을 제어하는 중앙화된 권한이 없는 경우 해당 자산은 상품으로 간주될 가능성이 더 높습니다. 이는 상품과 보안의 정의 사이에 규제 방식에 영향을 미치는 주요 차이점이 있기 때문에 중요합니다.
미국 상품선물거래위원회(CFTC)는 디지털 자산이 운영되는 블록체인이나 디지털 원장이 기능적이고 분산화되어 있는 경우 디지털 자산을 상품으로 규제할 예정이다.
미국 증권거래위원회(SEC)는 관련 블록체인이 기능하지만 엄격하게 분산되지 않은 경우 디지털 자산을 증권으로 규제할 예정입니다.
이 법안은 분산화를 다른 요구 사항 중에서 어느 누구도 블록체인이나 그 사용을 통제할 수 있는 일방적인 권한을 갖고 있지 않으며 발행자나 계열사가 디지털 자산의 소유권이나 투표권을 20% 이상 통제하지 않는 것으로 정의합니다.
분권화 정도에 따라 정의되는 구체적인 기준은 다음과 같습니다.
통제 및 영향력: 지난 12개월 동안 어떤 개인이나 단체도 직접적으로 또는 계약, 약정 또는 기타 수단을 통해 블록체인 시스템의 기능이나 운영을 통제하거나 실질적으로 변경할 수 있는 일방적인 권한을 갖지 못했습니다.
소유권 분배: 지난 12개월 동안 디지털 자산 발행자와 관련된 개인이나 단체가 전체 디지털 자산 발행량의 20% 이상을 소유하지 않았습니다.
투표권 및 거버넌스: 디지털 자산 발행자와 관련된 개인이나 단체는 지난 12개월 동안 디지털 자산 또는 관련 분산형 거버넌스 시스템의 20% 이상을 일방적으로 지시하거나 영향을 미칠 수 없었습니다.
코드 기여 및 수정: 지난 3개월 동안 디지털 자산 발행자 또는 관련 담당자는 보안 취약점을 해결하고 일상적인 유지, 네트워크 보안 위험 방지 또는 기타 기술적 개선.
마케팅 및 프로모션: 지난 3개월 동안 디지털 자산 발행자와 그 계열사는 디지털 자산을 대중에게 투자 목적으로 마케팅하지 않았습니다.
이러한 정의 기준 중 보다 엄격한 기준은 소유권 및 거버넌스 권한의 분배입니다. 20% 경계선은 디지털 자산을 증권 또는 상품으로 정의하는 동시에 개방성, 투명성, 추적성이라는 이점을 갖습니다. , 블록체인 특성의 변조 불가능성으로 인해 이 정의 표준의 정량화도 더욱 명확해지고 공정해질 것입니다.
(4) 기능 및 기술적 특징
디지털 자산과 기본 블록체인 기술 간의 연결은 규제 방향을 결정하는 중요한 이유 중 하나입니다. 이러한 연결에는 일반적으로 디지털 자산의 생성, 발행, 거래 및 관리 방법이 포함됩니다.
자산 발행: 많은 디지털 자산은 블록체인의 프로그래밍 메커니즘을 통해 발행됩니다. 즉, 디지털 자산의 생성 및 배포는 사람의 개입이 아닌 사전 설정된 알고리즘 및 규칙을 기반으로 합니다.
거래 검증: 디지털 자산 거래는 각 거래의 정확성과 변조 불가능성을 보장하기 위해 블록체인 네트워크의 합의 메커니즘을 통해 검증되고 기록되어야 합니다.
분산형 거버넌스: 일부 디지털 자산 프로젝트는 분산형 거버넌스를 구현했으며 특정 토큰을 보유한 사용자는 프로젝트의 향후 개발 방향에 대한 투표와 같은 프로젝트의 의사 결정 과정에 참여할 수 있습니다.
이러한 특성은 자산이 규제되는 방식에 직접적인 영향을 미칩니다. 디지털 자산이 주로 금전적 수익을 제공하거나 블록체인의 자동화된 절차를 통해 투표가 거버넌스에 참여할 수 있도록 허용하는 경우 이는 투자자가 경영진 또는 기업의 노력으로부터 혜택을 받을 것으로 기대하고 있음을 나타내기 때문에 증권으로 간주될 수 있습니다. 디지털 자산이 주로 교환 매체로 기능하거나 상품이나 서비스를 얻기 위해 직접 사용되는 경우 상품으로 분류될 가능성이 더 높습니다.
디지털 자산의 홍보 및 판매
FIT 21에서는 디지털 자산이 어떻게 시장에서 홍보되고 판매되는지도 중요하며, 디지털 자산이 주로 기대 투자 수익을 통해 마케팅된다면 증권으로 간주될 수 있습니다. 여기에 있는 내용은 디지털 자산에 대한 규제 프레임워크를 표준화하는 것이고 현물 ETF를 통과할 수 있는 다음 디지털 자산이 무엇인지에 영향을 미치기 때문에 매우 중요합니다.
(1) 등록 및 감독에 대한 책임
디지털 자산에는 디지털 상품과 증권이라는 두 가지 정의가 있습니다. 이 법안은 다양한 정의에 따라 디지털 자산 감독이 두 주요 기관에 공동으로 책임이 있다고 규정하고 있습니다.
상품선물거래위원회(CFTC): 디지털 상품 거래 및 관련 시장 참여자를 규제하는 역할을 담당합니다.
증권거래위원회(SEC): 증권으로 간주되는 디지털 자산과 그 거래 플랫폼을 규제하는 일을 담당합니다.
(2) 토큰 내부자에 대한 락업 기간
법안 원문: 관련인 또는 관련자가 소유한 제한된 디지털 자산은 (A) 해당 제한된 디지털 자산을 취득한 날짜 또는 ( B) 디지털 자산 만기일. .
이 조항은 내부자의 토큰 보유가 취득일로부터 최소 12개월 또는 정의된 디지털 자산 만기일로부터 12개월 중 더 늦은 날짜 동안 잠겨야 한다고 규정합니다.
이러한 판매 지연 기능은 내부자가 미공개 정보로 이익을 얻거나 시장 가격에 부당하게 영향을 미치는 것을 방지하는 데 도움이 됩니다. 내부자의 이익을 프로젝트의 장기 목표와 일치시킴으로써 투기 및 시장 조작을 방지하고 보다 안정적이고 공정한 시장 환경을 조성하는 데 도움이 됩니다.
(3) 디지털 자산 관련자 판매 제한
법안 원문: 디지털 자산은 다음 조건에 따라 계열사가 판매할 수 있습니다. (1) 해당 개인이 판매한 디지털 자산의 총량이 3개월 동안 미결제 금액의 1%를 초과하지 않습니다. (2) 특수관계인은 미결제 물량의 1%를 초과하는 매도 주문을 상품선물거래위원회 또는 증권거래위원회에 즉시 보고해야 합니다.
디지털 자산은 다음과 같은 상황에서 특수관계자에 의해 판매될 수 있습니다.
3개월 동안 판매된 디지털 자산 총액은 주식의 1%를 초과할 수 없습니다.
관계자는 재고자산의 1%를 초과하는 주문을 매도한 경우 즉시 상품선물거래위원회나 증권거래위원회에 신고해야 합니다.
이 조치는 단기간에 특수관계인의 판매금액을 제한함으로써 시장조작과 과도한 투기를 방지하고 시장의 안정과 건전성을 확보하는 조치이다.
(4) 프로젝트 정보 공개 요구 사항
법안 원문: 디지털 자산 발행자는 섹션 4(a)(8)에 따라 디지털 자산을 판매하기 전에 공공 웹사이트에 섹션 43에 설명된 정보를 공개해야 합니다.
프로젝트 공개에 필요한 특정 정보는 제공된 발췌문에 자세히 설명되어 있지 않지만 일반적으로 다음을 포함합니다.
디지털 자산의 성격: 디지털 자산이 나타내는 것(예: 회사의 지분, 미래 수익에 대한 권리 등)
관련 위험: 이 디지털 자산에 대한 투자와 관련된 잠재적 위험입니다. ;
개발 상태: 개발 이정표 또는 시장 준비 상태 등 디지털 자산과 관련된 프로젝트 또는 플랫폼의 현재 상태
재무 정보: 디지털 자산과 관련된 재무 세부 정보 또는 예측
관리팀: 프로젝트 뒤에 있는 사람이나 디지털 자산을 발행하는 회사에 대한 정보입니다.
법안은 디지털 자산 발행자가 투자자가 정보에 입각한 투자 결정을 내릴 수 있도록 자산의 성격, 위험, 개발 상태 등을 포함한 자세한 프로젝트 정보를 제공하도록 요구합니다. 이러한 움직임은 시장 투명성을 강화하고 투자자의 이익을 보호합니다.
(5) 고객 자금의 안전한 격리 원칙
법안 원문: 디지털 상품 거래소는 고객이 자금, 자산 및 재산에 접근하는 데 있어 손실 위험이나 불합리한 지연을 최소화하는 방식으로 고객 자금, 자산 및 재산을 보유해야 합니다.
이 규정은 디지털 자산 서비스 제공자가 고객 자금의 보안을 보장하고 서비스 제공자의 운영 문제로 인해 고객 자금의 손실 또는 액세스 지연을 방지하기 위한 조치를 취하도록 요구합니다.
(6) 고객 자금과 회사 운영 자금이 혼합되어서는 안 됩니다.
법안 원문: 고객의 자금, 자산 및 재산은 디지털 상품 거래소의 자금과 혼합되거나 다른 고객 또는 개인의 거래 또는 잔액을 확보하거나 보장하는 데 사용되어서는 안 됩니다.
이는 서비스 제공업체가 고객 자금의 독립성을 보장하고 고객 자금을 무단 활동에 사용하는 것을 방지하며 자금의 보안과 투명성을 강화하기 위해 고객 자금과 회사 운영 자금을 엄격하게 분리 및 관리해야 함을 의미합니다.
예를 들어 일부 작업에서는 결제 편의를 위해 특정 조건 하에서 다른 기관의 자금과 동일한 계좌에 고객 자금을 입금하는 것이 허용되지만 이러한 자금에 대한 별도의 관리 및 적절한 기록이 보장되어야 합니다. 자금 및 재산 보안의 각 고객.
4.2 혁신 장려 및 지원
FIT 21 법안에도 혁신을 장려하고 지원하는 내용이 많이 담겨 있습니다.
CFTC-SEC 공동자문위원회 설치
CFTC-SEC 디지털 자산 공동 자문위원회는 다음을 위해 설립되었습니다.
디지털 자산과 관련된 규칙, 규정 및 정책에 대해 위원회에 조언을 제공합니다.
위원회 간 디지털 자산 정책의 규제 조정을 더욱 촉진합니다.
디지털 자산을 설명, 측정 및 수량화하는 방법을 연구하고 전파합니다.
금융 시장 인프라의 운영 효율성을 향상하고 금융 시장 참가자를 더 잘 보호하기 위해 디지털 자산, 블록체인 시스템 및 분산 원장 기술의 잠재력을 연구합니다.
이 법안과 개정안에 대한 위원회의 시행에 대해 논의하십시오.
이 위원회의 목표는 디지털 자산 규제에 있어 두 주요 규제 기관 간의 협력과 정보 공유를 촉진하는 것입니다.
SEC의 혁신 및 핀테크 전략 허브(FinHub) 강화 및 확장
이 법안은 SEC의 혁신 및 핀테크 전략 센터(FinHub)를 다음과 같이 강화하고 확장할 것을 제안합니다.
기술 발전에 대한 위원회의 접근 방식 개발을 지원합니다.
시장 참여자의 금융 기술 혁신을 조사합니다.
금융, 규제 및 감독 시스템의 새로운 기술에 대한 위원회의 대응을 조정합니다.
그 책임은 다음과 같습니다:
금융 기술, 규제 기술 및 감독 기술을 포함하여 위원회 내에서 책임 있는 기술 혁신과 공정한 경쟁을 촉진합니다.
위원회에 핀테크에 대한 내부 교육 및 훈련을 제공합니다.
위원회의 기능을 수행하는 금융기술위원회에 조언을 제공합니다.
핀테크 기업에 대한 기술 발전 및 규제 요구 사항의 영향을 분석합니다.
핀테크 규칙 제정이나 다른 기관이나 직원의 조치에 관해 위원회에 조언을 제공합니다.
신흥 핀테크 부문 기업에 위원회와 위원회의 규칙 및 규정에 대한 정보를 제공합니다.
신흥 기술 분야에서 활동하는 회사는 위원회에 참여하고 잠재적인 규제 문제에 대해 위원회로부터 피드백을 받는 것이 좋습니다.
FinHub의 주요 임무는 핀테크 관련 정책 개발을 촉진하고 시장 참가자에게 신흥 기술에 대한 지침과 리소스를 제공하는 것입니다. 이전 회계연도 동안 FinHub의 활동에 대한 연례 보고서를 의회에 제출해야 합니다. 또한 FinHub가 FinHub의 기능을 수행하기 위해 위원회 및 자율 규제 기관에 적절히 접근할 수 있도록 보장하는 문서와 정보를 제공해야 합니다. 위원회는 FinHub가 이해관계자와 의사소통할 수 있도록 지원하기 위해 상세한 기록 보관 시스템(5 U.S.C. 552a에 정의됨)을 구축해야 합니다.
CFTC 연구실(LabCFTC) 설립
이 법안은 다음과 같은 목적으로 LabCFTC를 설립할 것을 제안합니다.
미국 대중에게 이익이 되도록 책임 있는 금융 기술 혁신과 공정한 경쟁을 장려합니다.
새로운 금융 기술 혁신에 대해 위원회에 알리는 정보 플랫폼 역할을 합니다.
금융 기술 혁신가의 혁신과 이 법에 의해 확립된 규제 체계 및 이 법에 따라 공포된 규정에 대해 논의하기 위해 옹호를 제공합니다.
그 책임은 다음과 같습니다:
금융 기술 규칙 제정이나 기타 기관 또는 직원 조치에 관해 위원회에 조언을 제공합니다.
금융 기술 위원회에 내부 교육 및 훈련을 제공합니다.
금융기술위원회의 감독 기능을 강화하기 위해 금융기술위원회에 조언을 제공합니다.
금융 기술 문제, 법 활동과 관련된 아이디어 및 기술에 대해 학계, 학생 및 전문가와 소통합니다.
신흥 기술 부문에 종사하는 사람들에게 위원회, 규칙 및 규정, 등록된 미래 협회의 역할에 대한 정보를 제공합니다.
신흥 기술 분야의 직원은 위원회에 참여하고 잠재적인 규제 문제에 대해 위원회로부터 피드백을 받도록 권장됩니다.
FinHub와 마찬가지로 LabCFTC의 임무는 관련 정책 개발을 촉진하고 기술 지침과 커뮤니케이션을 제공하는 것입니다. LabCFTC는 또한 의회에 활동에 대한 연례 보고서를 제공해야 합니다. 또한 LabCFTC가 LabCFTC의 기능을 수행하고 상세한 기록 보관 시스템을 구축하기 위해 위원회와 자율 규제 기관 또는 등록된 미래 협회의 문서 및 정보에 대한 완전한 접근 권한을 갖도록 보장해야 합니다.
분산금융, 대체 불가능한 디지털 자산, 파생상품 등에 대한 관련 연구에 관심을 갖고 강화한다.
상품선물거래위원회(CFCA)와 증권거래위원회(SEC)는 탈중앙화금융(DeFi), 대체불가디지털자산(NFT), 파생상품 등 혁신 콘텐츠에 대한 공동 연구를 진행하고 발전 동향을 연구해야 하며, 전통적인 금융 시장과 잠재적인 규제 전략에 미치는 영향을 평가합니다.
이 부분에서는 암호화폐 준수에 대한 태도가 기본적으로 확립됩니다. 보다 명확한 방향은 DeFi 및 NFT에 대한 연구이며, 이는 DeFi 및 NFT도 향후 점진적으로 명확한 규제 전략을 안내할 수 있음을 의미합니다.
4.3 FIT 21 법안의 중요성
암호화폐 산업이 시작된 지 10년이 넘었지만 전 세계적으로 디지털 자산에 대한 포괄적인 규제 프레임워크는 아직 없습니다. 기존 규제 체계는 단편화되어 있고 불완전하며 명확성이 부족합니다. 이러한 규제 불확실성은 혁신적인 비즈니스의 발전을 방해할 뿐만 아니라 악의적인 행위자가 악용할 수 있는 기회도 제공합니다.
따라서 FIT 21의 채택은 매우 중요합니다.
이 법안의 통과는 블록체인 기술 개발을 지원하는 규제 환경을 구축하는 동시에 암호화 시장과 소비자 안전을 보호하기 위한 비교적 명확한 요구 사항을 제시하는 데 중요하고 긍정적인 역할을 합니다. 특히 여기에는 다양한 디지털 자산 유형에 대해 CFTC 또는 SEC의 명확한 규제가 포함됩니다. 고객 자금 분리, 토큰 내부자에 대한 잠금 기간, 연간 판매 제한 및 공개 요구 사항 등과 같은 소비자 보호 조치 설정.
인터넷 이후 인류 문명의 또 다른 획기적인 발명품인 블록체인 기술과 디지털 자산은 규제와 혁신적 발전을 수용함으로써 새로운 시대의 트렌드세터입니다.
5. 요약
2023년 상반기와 비교해 2024년 상반기 해커 공격, 프로젝트 파티 러그풀(Rugpull), 피싱 사기 등으로 인한 총 손실액은 14억9200만 달러에 달해 크게 늘었다. 전반적으로 Web3 보안 상황은 매우 심각하다.
그러나 시장 상황은 전반적으로 긍정적이며 프로젝트 당사자와 Web3 사용자의 보안 인식이 점차 높아지고 있으며 관련 규정 준수 정책도 꾸준히 개선되고 있습니다.
Web3는 상상력과 기회가 가득한 신대륙입니다. 저는 이 땅에서 보안과 규정 준수가 사용자의 암호화된 자산을 보호하는 데 점점 더 중요한 역할을 할 것이라고 믿습니다.
