Web3 보안 시작하기 함정 가이드 가짜 지갑 및 개인 키 도우미 유출 위험 가이드

배경

월렛은 디지털 자산의 저장소일 뿐만 아니라 사용자가 거래를 하고 DApp에 액세스하는 데 필수적인 도구로서 웹3.0 세계에서 중요한 역할을 합니다. 지갑은 디지털 자산의 저장소일 뿐만 아니라 사용자가 거래를 수행하고 디앱에 액세스하는 데 필수적인 도구이기도 합니다. 지난 호 '웹3.0 보안 초보자 가이드: 함정 피하기'에서는 주로 지갑의 분류를 소개하고 일반적인 위험 포인트를 나열하여 독자들이 지갑 보안의 기본 개념을 형성하는 데 도움을 주었습니다. 암호화폐와 블록체인 기술의 인기로 인해 협박범들도 웹3 사용자의 자금을 노리고 있으며, 슬로우포그 보안팀에 접수된 도난 사례를 보면 가짜 지갑을 다운로드/구매하여 도난당한 사용자들이 다수 있음을 알 수 있습니다. 따라서 이번 호에서는 사용자가 가짜 지갑을 다운로드/구매하는 이유와 개인키/헬퍼워드 유출의 위험성에 대해 알아보고, 사용자가 자금을 안전하게 보호할 수 있는 보안 팁을 제공하고자 합니다.

가짜 지갑 다운로드

많은 휴대폰이 Google Play 스토어를 지원하지 않거나 네트워크 문제로 인해 다음과 같은 다른 출처에서 지갑을 다운로드하는 경우가 많습니다.

가짜 지갑을 왜 다운로드하시나요?

타사 다운로드 사이트

일부 사용자는 apkcombo, apkpure 등과 같은 타사 다운로드 사이트에서 지갑을 다운로드합니다. 이러한 사이트는 종종 자신을 지갑 다운로드 사이트라고 광고하는 경우가 많습니다. 이러한 사이트는 종종 Google Play 스토어에서 앱을 미러링한다고 자랑하지만 얼마나 안전할까요? 슬로우포그 보안팀이 Web3 가짜 지갑의 타사 소스를 조사하고 분석한 결과, 타사 다운로드 사이트 apkcombo에서 제공하는 지갑 버전은 실제로 존재하지 않는 것으로 나타났습니다. 사용자가 시작 화면에서 지갑을 생성하거나 지갑 토큰을 가져오면 가짜 지갑은 토큰과 기타 정보를 피싱 사이트의 서버로 전송합니다.

검색 엔진

검색 엔진

검색 엔진 결과 순위는 구매가 가능하여 이전 상황의 실제 공식 웹 사이트보다 가짜 공식 웹 사이트 순위가 등장했기 때문에 사용자가 검색 엔진 검색 지갑을 통해 직접 지갑을 검색 한 다음 상위 순위 링크를 클릭하여 지갑을 다운로드하는 것은 가짜 공식 웹 사이트에 들어갈 가능성이 매우 높으며 가짜 지갑을 다운로드하는 것은 권장하지 않습니다. 이렇게 하면 가짜 웹사이트와 가짜 지갑으로 연결될 가능성이 높습니다. 사용자는 공식 웹 사이트 URL이 무엇인지 잘 모르고, 사기꾼이 만든 가짜 웹 사이트는 실제 공식 웹 사이트와 매우 유사하여 실제 웹 사이트로 오인 할 수 있기 때문에 웹 사이트의 표시 페이지만으로 가짜 웹 사이트인지 여부를 판단하기 어렵 기 때문에 사용자가 트위터 또는 기타 플랫폼에서 다른 사용자가 공유하는 링크는 대부분 피싱 링크이므로 클릭하는 것도 권장하지 않습니다.

친구 및 가족/돼지 살해 디스크

블록체인이라는 어두운 숲에서는 제로 트러스트가 유지될 수 없으며, 친구와 가족이 여러분을 해칠 의도는 없었을 수 있지만, 아직 도난 당하지 않았을 뿐 지갑을 가짜로 다운로드했을 수 있으므로 그들이 공유한 QR코드/링크를 통해 지갑을 다운로드했다면 여러분도 가짜 지갑을 다운로드했을 가능성이 있습니다! .

슬로우미스트 보안팀은 다수의 저금통 도난 사건을 접수한 결과, 사기범들의 수법은 먼저 피해자의 신뢰를 얻은 후 암호화폐 투자 참여를 유도하고 가짜 지갑의 다운로드 링크를 공유해 결국 피해자가 마음을 속이고 돈을 잃게 되는 경우가 많았습니다. 따라서 대다수의 사용자는 특히 상대방이 투자를 유도하거나 알 수없는 링크를 보내면 신뢰하지 말고 경계하는 네티즌이되어야합니다.

Telegram

온 텔레그램에서 잘 알려진 지갑을 검색하면 가짜 관계자가 만든 그룹을 발견할 수 있었는데, 사기범들은 해당 그룹이 지갑의 공식 채널이라고 주장하며 일반 대중에게 유일한 공식 웹사이트로 연결되는 링크까지 제공했지만, 이는 가짜였습니다.

AppShop

공식 앱몰의 앱이 반드시 안전한 것은 아니며, 일부 부도덕한 사람들은 키워드 순위 등을 구매하여 트래픽을 유도하는 방식으로 사용자가 사기성 앱을 다운로드하도록 유도한다는 점에 유의해야 합니다.

사용자가 가짜 지갑을 다운로드하지 않으려면 어떻게 해야 할까요? 지갑을 다운로드하지 않으려면 어떻게 해야 할까요?

공식 웹사이트 다운로드

진짜 공식 웹사이트를 찾는 기능은 지갑을 다운로드할 때뿐만 아니라 사용자가 웹3.0 프로젝트를 진행할 때에도 유용하므로 여기서 올바른 웹사이트를 찾는 방법에 대해 이야기해 보겠습니다. 올바른 웹사이트를 찾는 방법은 다음과 같습니다.

사용자는 트위터에서 직접 프로젝트를 검색하고 팔로우하는 사람의 수, 등록된 기간, 파란색 또는 금색 라벨이 있는지 등을 기준으로 공식 여부를 판단할 수 있지만 이 모든 것이 가짜일 수 있으며, 공식 웹사이트의 모조품을 판매하는 블랙메일 업계에 대해서는 진짜와 가짜 프로젝트 파티 | 댓글 속 모조품 피싱 게시물에서 이야기한 바가 있습니다. 암흑과 회색의 산업. 따라서 신규 사용자는 먼저 트위터에서 일부 업계 보안 회사, 보안 전문가, 유명 미디어 등을 팔로우하여 찾은 공식 번호를 팔로우했는지 확인하는 것이 좋습니다.

(https://twitter. com/DefiLlama)

위의 방법을 통해 사용자는 실제 공식 트위터 번호를 찾을 수 있지만 여전히 여러 번 확인해야하며, 결국 공식 트위터 번호가 해킹 된 이벤트가 일반적이며 해커는 공식 링크를 가짜 공식 링크로 대체하기 위해 공식 사이트에 대한 공식 링크의 공식 번호도 될 것이므로 사용자는 방금 찾은 다른 채널과 공식 웹 사이트 링크를 넣어야합니다. 따라서 사용자는 방금 찾은 공식 링크와 다른 채널(예: DefiLlama, 코인게코, 코인마켓캡 등)을 통해 찾은 공식 링크를 비교해야 합니다:

(https://defillama.com/)

(https://landing.coingecko.com/links/)

공식 웹사이트 링크 찾기 및 확인 공식 링크를 찾아 확인한 후에는 링크를 북마크에 저장해 두면 매번 다시 찾아 확인할 필요 없이 다음에 북마크에서 바로 올바른 링크를 찾을 수 있어 가짜 웹사이트에 들어갈 확률을 줄일 수 있습니다.

App Store

사용자는 Apple Store, Google Play 스토어 등 공식 앱 스토어를 통해 지갑을 다운로드할 수 있습니다. 다운로드하기 전에 앱 개발자 정보를 확인하여 공식적으로 발표된 개발자 신원과 일치하는지 확인하고 앱 평점, 다운로드 수 및 기타 정보도 참고하시기 바랍니다.

공식 버전 확인

공식 버전 확인

일부 독자는 다운로드한 지갑이 진짜 지갑인지 어떻게 확인할 수 있는지 궁금해할 수 있습니다. 파일 일관성 확인은 파일의 해시값을 비교하여 전송 또는 저장 중에 파일이 변경되었는지 확인하는 작업입니다. 사용자는 이전에 다운로드한 apk 파일을 파일 해시 확인 도구로 드래그하기만 하면 이 도구가 해시 함수(MD5, SHA-256 등)를 사용하여 파일의 해시 값을 생성하고, 이 값이 공식이 제공한 해시 값과 일치하면 진짜 지갑이고 일치하지 않으면 가짜 지갑입니다. 지갑이 가짜라는 것을 확인하면 사용자는 어떻게 해야 하나요?

1. 먼저 유출 범위를 확인합니다. 가짜 지갑을 다운로드했지만 개인키/비밀번호를 입력하지 않았다면 앱을 삭제하고 공식 버전을 다시 다운로드하면 됩니다.

2. 가짜 지갑에 프라이빗 키/워드가 임포트된 경우, 프라이빗 키/워드가 유출된 것이므로 공식 홈페이지로 이동하여 원본 지갑을 다운로드하고 프라이빗 키/워드를 임포트한 후 새 주소를 생성하여 전송 가능한 자산을 빠르게 전송해주시기 바랍니다.

3. 안타깝게도 암호화폐를 도난당한 경우, 분류 가이드라인(자금 도난/사기/랜섬)에 따라 양식만 제출하면 커뮤니티에서 무료로 사건 심사를 지원해 드립니다. 동시에 제출하신 해커의 주소는 위험 관리를 위해 InMist 위협 인텔리전스 파트너 네트워크와 동기화됩니다. (참고: 중국어 양식은 https://aml.slowmist.com/cn/recovery-funds.html, 영어 양식은 https://aml.slowmist.com/recovery-funds.html)

가짜 하드웨어 지갑 구매

위에서 설명한 시나리오는 가짜 지갑을 다운로드하는 이유와 이를 해결하기 위한 단계이므로 가짜 하드웨어 지갑을 구매하는 이유에 대해 이야기해 보겠습니다.

온라인 쇼핑몰에서 하드웨어 지갑을 구입하는 사용자도 있지만, 비공식 공인 판매처의 하드웨어 지갑은 지갑이 사용자에게 전달되기까지 얼마나 많은 사람을 거칠지, 내부 부품이 변조되었는지 여부가 불확실하기 때문에 보안 위험이 매우 큽니다. 내부 구성 요소가 변조된 경우, 외관과 기능 측면에서 문제를 확인하기가 매우 어렵습니다.

(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto- wallet/48155/)

하드웨어 지갑 공급망 공격에 대응하는 방법은 다음과 같습니다:

공식 채널에서 구매: 가장 효과적인 방법입니다. 공급망 공격을 해결하는 가장 효과적인 방법입니다. 온라인 쇼핑몰, 리셀러, 온라인 사용자 등 비공식 채널에서 하드웨어 지갑을 구매하지 마세요.

외형 확인: 지갑을 받은 후에는 가장 기본적인 단계인 외부 포장에 손상된 흔적이 있는지 먼저 확인하는데, 이 단계에서는 해커에게 노출되지 않을 가능성이 높습니다.

공식 웹사이트 인증: 일부 하드웨어 지갑은 공식 웹사이트 인증 서비스를 제공하며, 사용자가 지갑을 초기화하면 기기는 사용자에게 공식 웹사이트 인증을 요청하는 메시지를 표시합니다. 배송 중에 기기가 변조된 경우 공식 사이트 인증을 통과할 수 없습니다.

분해 자동 파괴 메커니즘: 분해 자동 파괴 메커니즘이 있는 하드웨어 지갑을 구매하면 누군가 지갑을 열고 내부 부품을 조작하려고 시도하면 보안 칩의 민감한 정보가 자동으로 삭제되고 더 이상 장치를 사용할 수 없게 되는 메커니즘을 선택할 수 있습니다.

비밀키/비밀번호 유출 위험

위와 같이 실제 지갑을 다운로드하거나 구매했다면 개인키/비밀번호 보관 방법이 다시 문제가 될 수 있습니다. 문제입니다. 개인 키/암호는 지갑을 복구하고 자산을 제어할 수 있는 유일한 자격 증명입니다. 개인 키는 문자와 숫자로 구성된 64비트 16진수 문자열이며, 니모닉은 일반적으로 12단어 문자열입니다. Slow Fog 보안팀은 개인키/헬퍼가 유출되면 지갑 자산이 도난당할 가능성이 매우 높다는 점을 알려드리고자 합니다. 개인키/헬퍼가 유출되는 몇 가지 일반적인 이유를 살펴보겠습니다.

부적절한 기밀 유지: 사용자는 친구나 가족에게 개인키/헬퍼에 대해 알리고 보관에 도움을 요청할 수 있습니다. 친구나 가족에게 개인키를 보관하도록 도와달라고 요청하여 그 결과 자금을 도난당할 수 있습니다.

개인키/도우미의 네트워크 저장 또는 전송: 일부 사용자는 개인키/도우미가 다른 사람에게 알려지면 안 된다는 것을 알면서도 WeChat 즐겨찾기, 사진, 스크린샷, 클라우드 스토리지 및 메모를 통해 개인키/도우미를 저장합니다. 니모닉. 해커가 이러한 플랫폼 계정을 수집하여 침입에 성공하면 개인 키/어시스트 단어를 쉽게 탈취할 수 있습니다.

개인키/보조어 복사 및 붙여넣기: 많은 클립보드 도구와 입력 방법은 사용자의 클립보드 기록을 클라우드에 업로드하여 개인키/보조어를 안전하지 않은 환경에 노출시킵니다. 또한 트로이 목마는 사용자가 개인 키/도우미를 복사할 때 클립보드에서 정보를 훔칠 수도 있으므로, 별거 아닌 것 같지만 실제로는 유출 위험이 높은 개인 키/도우미를 복사하여 붙여넣는 것은 권장하지 않습니다.

그렇다면 어떻게 하면 개인 키/비밀번호 유출을 방지할 수 있을까요?

먼저, 개인 키/헬프워드에 대해 누구에게도 말하지 마세요. /헬프워드를 친구나 가족을 포함한 누구에게도 알려주지 마세요. 둘째, 해커가 네트워크 공격 등을 통해 개인키/헬퍼를 입수하는 것을 방지하기 위해 개인키/헬퍼를 저장할 물리적 매체를 선택하세요. 예를 들어, 개인 키/비밀번호를 좋은 품질의 종이에 복사하거나(플라스틱으로 봉인할 수도 있음) 비밀 키/비밀번호를 위한 비밀 상자를 사용하는 것이 좋습니다. 또한, 여러 개의 서명을 설정하고 개인 키/토큰을 분산된 방식으로 저장하는 것도 개인 키/토큰의 보안을 강화할 수 있습니다. 개인 키/토큰을 백업하는 방법에 대한 자세한 내용은 Slow Mist의 "블록체인 다크 포레스트 자가 도움말 매뉴얼(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md)"을 참조하세요.

요약

이 문서는 주로 지갑 다운로드/구매 시 위험성, 실제 공식 웹사이트 찾기 및 지갑 진위 확인 방법, 개인 키/헬퍼 워드에 대해 설명합니다. 개인키/헬퍼워드 유출의 위험성에 대해 설명합니다. 이번 호가 어두운 숲에 첫발을 내딛는 데 도움이 되길 바라며, 다음 호에서는 피싱, 서명 및 인증 위험 등 지갑 사용 시 발생할 수 있는 위험에 대해 설명할 예정이니 많은 관심 부탁드립니다. (이 글에 언급된 브랜드와 이미지는 독자의 이해를 돕기 위한 목적으로만 사용되었으며, 추천이나 보증을 의미하지 않습니다).