배경
웹3 보안 입문 및 함정 피하기 가이드의 지난 호에서는 다중 서명의 메커니즘, 다중 서명 발생 원인, 다중 서명 피싱에 대해 집중적으로 다루었습니다. 지갑의 악의적인 다중 서명을 피하는 방법에 대해 설명했습니다. 이번 호에서는 기존 산업과 암호화폐 업계에서 모두 효과적인 것으로 알려진 마케팅 전략인 에어드롭에 대해 이야기하고자 합니다.
에어드롭은 단기간에 무명에서 대중의 주목을 받으며 사용자 기반을 빠르게 축적하고 시장 영향력을 높일 수 있습니다. 사용자가 Web3 프로젝트에 참여하려면 관련 링크를 클릭하고 프로젝트와 상호 작용하여 에어드랍 토큰을 획득해야 하지만 해커들은 이미 모방 웹사이트부터 백도어가 있는 도구까지 에어드랍을 받는 과정의 업스트림과 다운스트림에 사용자를 위한 함정을 설치해 놓았습니다. 따라서 이번 호에서는 몇 가지 전형적인 에어드롭 사기를 분석하여 관련 위험을 설명하고 함정을 피하는 데 도움을 드리고자 합니다.
에어드랍이란 무엇인가요
웹3 프로젝트는 종종 프로젝트의 가시성을 높이고 초기 사용자들을 모으기 위해 특정 지갑 주소로 토큰을 무료로 배포하는 경우가 많습니다. 이러한 행위를 "에어드랍"이라고 합니다. 이는 프로젝트가 사용자를 확보하는 가장 직접적인 방법입니다. 에어드랍은 에어드랍을 얻는 방식에 따라 다음과 같은 카테고리로 나눌 수 있습니다.
작업 기반: 리트윗, 좋아요 등 프로젝트에서 지정한 작업을 완료하는 것입니다.
대화형: 토큰 교환, 토큰 보내기/받기, 크로스체인 작업 완료.
보유형: 에어드랍 토큰을 받기 위해 프로젝트 측에서 지정한 토큰을 보유합니다.
약정형: 에어드랍 토큰을 얻기 위해 단일 또는 이중 코인을 약정하거나 유동성을 제공하거나 장기간 포지션을 고정하는 것입니다.
에어드랍을 받을 때의 위험
가짜 에어드랍 사기
이러한 유형의 사기는 다음과 같이 세분화할 수 있습니다:
1. 해커가 프로젝트 측의 공식 계정을 도용하여 가짜 에어드랍 소식을 공개합니다. 정보 플랫폼에서 "프로젝트의 X 계정 또는 Discord 계정이 해킹당했습니다, 해커가 공개한 피싱 링크를 클릭하지 마세요"라는 보안 알림을 자주 볼 수 있습니다. 슬로우 미스트 2024의 블록체인 보안 및 자금세탁 방지 보고서에 따르면 2024년 상반기에만 27건의 프로젝트 계정 해킹 사건이 발생했습니다. 사용자들은 공식 계정에 대한 신뢰를 바탕으로 링크를 클릭했고, 에어드랍으로 위장한 피싱 웹사이트로 이동했습니다. 피싱 사이트에서 개인 키/헬퍼를 입력하거나 권한이 부여되면 해커는 사용자의 자산을 탈취할 수 있습니다.
2. 해커는 유명 프로젝트 계정을 사용하여 실제 공식 프로젝트 계정의 댓글 섹션을 스와이프했습니다. 해커는 모조 프로젝트 계정을 사용하여 프로젝트의 실제 공식 계정의 댓글 섹션에 에어드랍을 받았다는 메시지를 남기고 사용자가 피싱 링크를 클릭하도록 유도합니다. 이전에 슬로우 미스트 보안 팀은 이러한 유형의 전술을 분석하고 이에 대한 대응 제안을 제시했으며, 실제 및 가짜 프로젝트 당사자를 확인하고 △ 높은 모방 번호의 댓글 영역에서 피싱에주의하십시오. 또한 실제 프로젝트 당사자가 에어 드랍 소식을 공개 한 후 해커는 높은 모방 계정을 사용하여 많은 소셜 미디어 플랫폼에서 피싱 링크의 역학을 공개하고 많은 사용자가 가짜 앱을 신중하게 식별하여 설치하거나 서명 승인 작업을 수행하기 위해 피싱 웹 사이트를 열지 않았기 때문에 피싱을 방지 할 수 있습니다.
(https://x.com/ im23pds/status/1765577919819362702)
3. 세 번째 사기는 더 심각한 사기꾼으로, 웹3.0 프로젝트 그룹에 숨어 목표 사용자를 골라 소셜 엔지니어링을 하며 때로는 에어드롭을 미끼로 사용하는 전문 사기꾼입니다. 때로는 에어드랍을 미끼로 사용하여 사용자에게 에어드랍을 받기 위해 필요한 토큰을 전송하도록 '교육'하기도 합니다. "공식 고객 서비스" 또는 "가르치는" 사용자가 연락하는 경우 사기꾼일 가능성이 높으며, 에어드랍을 받기 위해 많은 돈을 잃을 수 있으니 주의하시기 바랍니다.
세계에서 가장 인기 있는 비디오 게임을 처음 봤습니다. "공짜로 토큰을 에어드랍
서두에서 언급했듯이 사용자는 에어드랍을 받기 위해 특정 작업을 완료해야 하는 경우가 많으므로, 공짜로 토큰을 받았을 때 어떤 일이 발생하는지 살펴봅시다. ' 사용자 토큰의 시나리오를 살펴보겠습니다. 해커는 실제 가치가 없는 토큰을 사용자의 지갑에 에어드랍할 수 있으며, 사용자는 이러한 토큰을 보고 전송, 조회, 탈중앙화 거래소에서 거래하는 등 토큰과 상호작용을 시도할 수 있습니다. 그러나 스캠 NFT 스마트 컨트랙트를 역분석한 결과, 주문이나 전송을 시도하면 실패하고 "아이템 잠금을 해제하려면 웹사이트 방문"이라는 오류 메시지가 표시되어 사용자가 피싱 웹사이트를 방문하도록 유도하는 것으로 확인되었습니다.
사용자가 Scam NFT가 이끄는 피싱 사이트를 방문하면 해커는 다음을 수행할 수 있습니다:
"0달러"에 가치 있는 NFT를 대량으로 구매, "0달러" NFT 피싱 분석 참조
"0달러"에 사기 NFT, "0달러" NFT 피싱 분석 참조
-
고가치 토큰에 대한 승인 승인 또는 허가 서명 받기
네이티브 자산 받기
.
다음으로 해커가 어떻게 정교하게 만들어진 악성 컨트랙트를 통해 사용자의 가스비를 탈취했는지 살펴보겠습니다.
먼저 해커는 BSC에 GPT(0x513C285CD76884acC377a63DC63A4e83D7D21fb5)라는 악성 계약을 생성하여 사용자가 토큰을 에어드롭하여 상호 작용하도록 유도합니다.
사용자가 악성 컨트랙트와 상호작용하면 지갑에서 토큰을 사용하려면 컨트랙트를 승인해야 한다는 요청이 발생합니다. 사용자가 요청을 승인하면 악성 컨트랙트는 사용자 지갑 잔액에 따라 자동으로 가스 한도를 높여 후속 트랜잭션에서 더 많은 가스 수수료를 소비하게 합니다.
악성 컨트랙트는 사용자가 제공한 높은 가스 한도를 이용하여 초과 가스를 사용하여 CHI 토큰을 발행합니다(CHI 토큰은 가스 보상으로 사용할 수 있음). 악성 컨트랙트가 많은 수의 CHI 토큰을 축적하면 해커는 CHI 토큰을 소각하여 컨트랙트가 파기될 때 가스 보상을 돌려받을 수 있습니다.
(https://x.com/ SlowMist_Team/status/1640614440294035456)
이런 식으로 해커들은 사용자들이 가스 요금을 추가로 지불했다는 사실도 모르게 사용자의 가스 요금을 교묘하게 자신들의 이익을 위해 사용했습니다. 사용자들은 에어드랍 토큰을 판매하여 수익을 얻을 수 있다고 생각했지만, 오히려 자신의 고유 자산을 도난당했습니다.
백도어가 있는 도구
(https://x.com/evilcos/status/1593525621992599552)
에어드랍을 받는 과정
일부 사용자는 토큰의 희귀도를 번역하거나 조회하는 플러그인을 다운로드해야 합니다. 이러한 플러그인의 보안이 의심스럽고 일부 사용자는 공식 채널에서 플러그인을 다운로드하지 않기 때문에 백도어가 있는 플러그인을 다운로드할 가능성이 매우 높습니다.
또한, 스크립트를 실행하여 자동화된 배치 상호작용을 완료할 수 있다고 주장하는 리더 에어드롭 스크립트를 판매하는 서비스가 온라인에서 발견되었으며, 이는 매우 효율적으로 보이지만 스크립트의 출처나 실제 기능을 확인할 수 없으므로 검증되지 않은 스크립트를 다운로드할 경우 상당한 위험이 있다는 점에 유의하시기 바랍니다. 스크립트에는 악성 코드가 포함되어 있을 수 있으며, 개인 키/헬퍼를 도용하거나 기타 무단 작업을 수행하는 등의 잠재적인 위협이 있습니다. 또한 일부 사용자는 바이러스 백신 소프트웨어를 설치하거나 끄지 않고 관련 유형의 위험한 작업을 수행하여 디바이스가 트로이 목마에 의해 손상된 사실을 제때 인지하지 못하기도 합니다.
요약
이 가이드에서는 주로 사기 분석을 통해 현재 많은 프로젝트가 에어드랍을 마케팅 도구로 사용하는 위험성이 무엇인지 설명하고, 사용자는 에어드랍을받는 과정에서 자산의 손상 가능성을 줄이기 위해 다음과 같은 조치를 취할 수 있습니다 :
. class=" list-paddingleft-2">다자간 검증, 에어드랍 웹사이트 방문 시 프로젝트의 공식 계정이나 공지 채널을 통해 확인할 수 있는 URL을 다시 한번 확인하시고, 피싱 위험 차단 플러그인(예: Scam Sniffer)을 설치하여 피싱 웹사이트 식별에 도움을 받을 수도 있습니다. 피싱 웹사이트.
월렛 등급, 지갑에 소액을 보관하는 데 사용되는 지갑은 빈 지갑에, 많은 금액을 보관하는 지갑은 콜드월렛에 보관하는 데 사용됩니다.
알 수 없는 출처로부터 에어드랍 토큰을 받는 것을 주의하고, 인증/서명 작업을 가볍게 수행하지 마세요.
거래에 비정상적으로 높은 가스 한도가 있는지 확인하세요.
카스퍼스키, AVG 등과 같은 평판이 좋은 백신 소프트웨어를 사용하여 실시간 보호 기능을 켜고 최신 바이러스 데이터베이스를 업데이트하세요.