해독제에서 독약으로: 허가가 위험의 근원이 된 방법

저자: Keystone 출처: X, @KeystoneCN

1. 허가가 무엇인지 잠시 알아보기

돈을 빌리는 짧은 이야기부터 시작하죠:

나는 좋은 친구 잭에게 돈을 부탁하려고 했는데 잭이 돈을 빌려주겠다고 했어요. 왼쪽;">돈을 빌리는 것에 대한 짧은 이야기부터 시작하겠습니다.

저는 절친한 친구 잭에게 100만 달러를 빌리려고 했는데 잭이 아무 말 없이 전화를 들고 은행에 전화를 걸어 본인 확인 후 은행에 100만 달러 인출을 승인하고 싶다고 말했고 은행은 승인받았다고 답하며 그렇게 기록했습니다.

다음 단계는 은행에 가서 카운터에 자칼이 승인한 100만 달러를 인출할 준비가 되었다고 말하는 것이었습니다. 그러면 은행에서 승인 기록이 있는지 확인하고 제가 맞다는 것을 확인한 후 100만 달러를 지급해 주었습니다.

이 작은 이야기는 이더리움에서 승인 승인을 시각화한 것으로 볼 수 있습니다. 이 과정에서 승인은 재키(자산 소유자)가 은행에 전화하여 승인 사실을 알리고(체인 업로드), 은행(토큰 컨트랙트)이 승인을 관리해야만 가능하며, 승인된 금액 이상을 은행으로부터 이체할 수 있는 것은 나(승인된 당사자)뿐입니다. 은행에 승인에 대한 기록이 없는 경우, 출금 요청은 당연히 거부될 것입니다.

좋아요, 잭팟에서 돈을 빌리기 위해 다른 승인 방법인 허가로 전환하면 절차가 어떻게 바뀌나요?

이번에는 100만원을 빌리기 위해 입을 열었고, 관대한 잭맨은 전화를 걸지 않고 주머니에서 수표를 꺼내 금액을 기입하고 서명해 주었습니다. 나는이 수표를 은행에 가져 가서 교환했는데, 이때 은행이 기록을 승인하지는 않았지만 잭 마의 서명이있는 수표로 은행은 수표의 진위 여부, 지정된 금액을 나에게 현금으로 확인했습니다.

나는 내 친구들이 이미 그 과정에서 둘의 차이점을 이미 보았다고 생각합니다, ERC-20에서 중요한 기능으로 승인, 널리 사용 된 직후 라인의 ETH에서, 왜 나중에 ERC-2612에서 기능의 동일한 효과를 얻기 위해 허가 방법을 도입하기 위해 나중에?

2. 퍼밋이 필요한 이유

ERC-2612 제안은 2019년 3월에 제출되었으며 2022년 10월까지 최종 검토가 진행될 예정입니다. 이는 이 기간 동안 이더리움 메인넷의 가스 가격이 여러 차례 급등한 것과 불가분의 관계가 있습니다.

그림: ETH 메인넷 가스 가격은 2020-2022년까지 높은 수준을 유지할 것입니다

새로운 온체인 프로젝트의 부 창출 효과와 함께 격렬한 강세장이 이어지면서 사용자들은 온체인 거래에 더욱 열광하게 되었고, 때로는 체인에 블록을 더 빨리 올리면 더 많은 수익을 얻을 수 있으므로 더 높은 수수료를 기꺼이 지불하고 거래를 더 빨리 처리하려고 합니다.

그러나 이러한 현상의 결과는 사용자가 체인에서 토큰을 거래할 때 종종 높은 가스비를 충전해야 하며, Approve의 방법론에서는 토큰 교환을 완료하는 데 2 TX가 필요하므로 소액의 자본을 가진 사용자에게는 악몽이 될 수 있습니다. 소액의 자본을 가진 사용자에게는 거래 비용이 악몽과도 같습니다.

그리고 ERC-2612에서 도입한 Permit은 승인 과정을 오프라인 서명으로 변경하여, 잭인더박스 수표를 받고 돈을 인출할 때 은행에 수표만 확인하면 되는 돈 빌려주기 이야기에서처럼 토큰을 전송할 때만 토큰과 함께 제공하면 되는 방식으로 승인 과정을 변경했습니다.

바쁜 잭마는 전화 한 통을 절약하고, 사용자는 기름값이 비싼 상황에서 꽤 큰 금액인 TX를 절약하는 것처럼 보이니 모두에게 해피엔딩처럼 보입니다. 하지만 그들 모르게 판도라의 상자도 조용히 열리고 있습니다 ......

3. 야만적 성장의 화산 폭발

퍼밋 이전에 해커들이 암호화폐 사용자를 피싱하는 방법 중 하나는 사용자가 가스를 소비해야 하고 쉽게 경보가 발생할 수 있는 승인 거래에 서명하도록 유도하는 것이었습니다. 이러한 거래는 사용자가 가스를 사용해야 하며, 경고를 받고 성공하지 못하기 쉽습니다. 사용자가 클릭하더라도 트랜잭션이 체인에 업로드되는 데 시간이 걸리기 때문에 해커는 즉시 동일한 논스를 사용하여 트랜잭션을 제출하여 시간을 절약할 수 있으며, 이는 해커가 쉽게 할 수 있는 일이 아닙니다.

그리고 Permit의 등장은 의심할 여지없이 해커들에게 졸린 베개를 제공했습니다. Approve에 비해 Permit은 가스 소비가 없고 서명만 필요하기 때문에 사용자의 경계심을 줄여줍니다. 동시에 오프라인 서명의 특성으로 인해 이니셔티브는 해커의 손에 있으며 사용자는 후회스러운 약을 먹을 수 없을뿐만 아니라 해커는 허가를 받아 나쁜 일을 할 적절한시기를 선택하여 이익을 극대화 할 수 있습니다.

그 결과 피싱 피해자 수와 도난당한 금액이 급증하고 있습니다. 에 따르면, 2023년에 피싱 피해자는 2억 9,500만 달러의 손실을 입을 것으로 예상됩니다."

.

2024년 상반기에는 이미 3억 1,400만 달러가 넘을 것으로 예상됩니다.

2024년 3분기 말에는 더 큰 사건이 발생했는데, 대포통장으로 의심되는 지갑 주소에 대한 퍼밋 피싱 공격으로 인해 12,000개의 $spWETH, 2억 위안 상당의 손실이 발생했습니다.

차트: ScamSniffer 2024 상반기 피싱 공격 통계 보고서

이런 현상은 원래 제안을 한 개발자도 예상하지 못했던 것으로, 원래 Permit을 도입한 의도는 사용자의 가스 지출을 줄이고 사용자 경험과 효율성을 개선하는 것이었습니다. 사용자 자산 보안의 방패에 직접적으로 큰 구멍을 뚫는 일방적으로 날카로운 칼날이 될 줄은 예상하지 못했습니다.

유니스왑 이후 출시된 퍼밋2와 같이 모든 ERC-20 토큰이 오프라인 서명을 지원할 수 있는 퍼밋과 같은 다른 서명 인증 방법도 많이 있습니다. 1위 탈중앙 거래소인 유니스왑의 이러한 움직임은 오프라인 서명에 대한 사용자들의 의존도를 높여 피싱의 위험을 증가시킵니다.

4.

그렇다면, 일반 사용자로서 ...... 의 다모클레스처럼 우리 머리 위에 걸려 있는 이 큰 헬리콥터에 직면하여 손실 방지 조치를 피할 수 있는 방법은 무엇일까요?

1, 인식 제고

에어드랍의 유혹을 냉정하게 대처

이것은 손실을 방지하기 위해 할 수 있는 가장 중요한 일들입니다. align: left;">코인 서클 프로젝트 측 에어드랍은 실제로 매우 향기롭지만 대부분의 경우 피싱 공격이라는 이름의 가짜 에어드랍이며, 이런 종류의 정보를 접할 때 피싱 사이트에 들어가는 실수를 피하기 위해 여러 출처를 통해 에어드랍의 진위와 공식 웹 사이트를 확인하기 위해 "수신"에 직접 압도되지 마십시오.

블라인드 서명 피하기

불운하게도 피싱 사이트에 들어갔으나 아직 인지하지 못했다면 지갑에 거래 창이 뜨면 거래 내용을 꼼꼼히 확인해야 합니다. 허가, 허가2, 승인, 증가 허용 등과 같은 단어가 나타나면 토큰 권한을 빼앗는 거래이며 정상적인 에어드랍 프로세스에서는 그렇게 할 필요가 없으므로 경계해야 합니다. 키스톤은 또한 하드웨어 측에서 거래의 파싱 및 표시를 구현하여 사용자가 거래 파싱을 사용하여 블라인드 서명을 피하고 충동적인 행동으로 인한 심각한 결과를 피할 수 있도록 합니다. 이는 충동적인 행동으로 인한 결과를 피할 수 있는 좋은 방법입니다.

사진: Keystone Permit2 서명 거래를 파싱하고 표시하는 Rabby Wallet이 있는 하드웨어 지갑

2. 도구 최대한 활용하기

스캠스니퍼

일반 사용자가 피싱 URL을 정확하게 식별하는 것은 매우 어렵고, 피싱이 유출되는 것은 불가피한 일입니다. 스캠스나이퍼의 브라우저 플러그인을 사용하면 피싱 의심 URL을 입력하기 전에 플러그인으로부터 알림을 받게 되며, 사용자는 알림을 받은 후 플러그인과의 상호작용을 중단할 수 있습니다.

취소

Revoke.cash는 사용자의 지갑에 토큰 승인 기록을 표시하며, 무제한으로 의심스러운 금액의 승인에 대해서는 취소하는 것이 좋습니다. 정기적으로 승인을 정리하는 습관을 들이고 필요 이상으로 많은 승인을 하지 않도록 하세요.

3, 자산 분리 및 다중 서명

한 바구니에 모든 계란을 담지 말라는 말이 있듯이, 암호화폐 자산에도 적용됩니다. 예를 들어, 많은 양의 자산은 키스톤과 같은 콜드월렛에 보관하고 일상적인 거래에는 소량을 핫월렛에 사용하면 함정에 빠지더라도 자산을 한 바구니에 담지 않을 수 있습니다.

보안 요구사항이 더 높은 경우 다중 서명을 사용해 보안을 더욱 강화할 수 있습니다. 다중 서명에 추가된 자산은 임계값에 도달한 지갑 동의 수에 도달한 경우에만 정상적으로 전송할 수 있습니다. 임계값에 도달하지 못한 단일 지갑은 도난당하고 해커는 자산을 손에 넣을 수 없습니다.

5. 결론

퍼밋이 제공하는 가치를 부정할 수는 없지만, 최근 증가하는 도난 건수를 보면 더 많은 해를 끼치고 있는 것으로 보입니다. 한때 가독성이 낮고 위험하다는 이유로 해커들이 선호했던 ethsign 방식은 이제 대다수의 해커들이 사용하고 있습니다. 오늘날 대부분의 지갑 소프트웨어에서 더 이상 사용되지 않으며, 이 방식이 구현하는 기능은 더 안전한 방법으로 대체되었습니다.

당신도 Permit을 사용할 때 ethsign과 같은 선택의 기로에 서 있나요? 업그레이드할지 아니면 포기할지는 이더리움 개발자들이 시간을 들여 고민하고 논의해야 할 문제입니다.