Web3 보안 시작 가이드｜악의적인 과다 서명으로 인한 지갑 위험

배경

웹3 보안 초보자 가이드의 지난 편에서는 지갑 다운로드/구매, 실제 공식 웹사이트 찾기, 지갑의 진위 확인과 관련된 위험에 대해 집중적으로 다뤘습니다. 그리고 개인 키/도움말 유출의 위험에 대해 알아봤습니다. 우리는 흔히 "키가 아니라 코인이 아니라"라고 말하지만, 개인 키/도움말이 있어도 지갑이 악의적으로 오버서명되어 자산을 통제할 수 없는 경우가 있습니다. 저희가 수집한 미스트트랙 도난 사례를 종합해보면, 지갑이 악의적으로 과다 서명된 일부 사용자는 지갑 계정에 잔액이 남아 있는데도 왜 지갑 계정에서 자금을 이체할 수 없는지 이해하지 못합니다. 따라서 이번 호에서는 트론 지갑을 예로 들어 다중 서명 메커니즘, 해커의 일상적인 작업, 지갑이 악의적으로 다중 서명되는 것을 방지하는 방법 등 다중 서명 피싱과 관련된 지식을 설명해드리겠습니다.

멀티서명 메커니즘

다중 서명이 무엇인지 간단히 설명하는 것으로 시작하겠습니다. 다중 서명 메커니즘의 목적은 여러 사용자가 동일한 디지털 자산 지갑에 대한 접근과 사용을 공동 관리하고 제어하여 지갑의 보안을 강화하는 것입니다. 일부 관리자가 개인 키/도움자를 분실하거나 공개하더라도 지갑의 자산은 손상되지 않습니다.

트론의 다중 서명 권한 시스템은 소유자, 증인, 활성의 세 가지 권한으로 설계되었으며, 각 권한은 특정 기능과 목적을 가지고 있습니다.

소유자 권한:

• 모든 계약 및 운영을 수행할 수 있는 최고 수준의 권한을 가집니다.

• 이 권한이 있어야만 다른 서명자 추가 또는 제거를 포함한 다른 권한을 수정할 수 있습니다.

• 새 계정을 만들면 기본적으로 이 권한을 가진 계정 주인이 계정을 만듭니다.

감시 권한:

이 권한은 주로 슈퍼 대표와 관련된 권한으로, 해당 계정에서 슈퍼 대표의 선거 및 투표에 참여하고 슈퍼 대표와 관련된 작업을 관리할 수 있습니다.

활성 권한:

자금 이체 및 스마트 계약 호출과 같은 일상적인 작업에 사용됩니다. 이 권한은 소유자 권한으로 설정 및 수정할 수 있으며, 여러 승인된 작업의 모음인 특정 작업(예: TRX 이체, 자산 담보)을 수행해야 하는 계정에 할당되는 경우가 많습니다.

위와 같이 새 계정을 만들면 해당 계정의 주소는 기본적으로 소유자 권한(가장 높은 권한)을 갖게 되며, 계정의 권한 구조를 조정하여 해당 계정의 권한을 위임할 주소를 선택하고, 해당 주소에 부여할 가중치의 크기를 지정하고, 임계값을 설정할 수 있습니다. 임계값은 특정 작업을 수행하기 위해 도달해야 하는 서명자 가중치의 수입니다. 아래 그림에서 임계값은 2로 설정되어 있고 승인된 주소 3개 모두 가중치가 1입니다. 특정 작업을 수행할 때 서명자 2명의 확인을 받으면 해당 작업이 실행될 수 있습니다.

(https://support. tronscan.org/hc/article_attachments/29939335264665)

악성 멀티서명 과정

해커가 사용자의 개인 키/키 구문을 획득한 후 사용자가 다중 서명 메커니즘을 사용하지 않는 경우(즉, 지갑 계정이 사용자에 의해서만 제어되는 경우) 해커는 자신의 주소에도 소유자/활성 권한을 부여하거나 사용자의 소유자/활성 권한을 자신에게 이전할 수 있는데 이를 일반적으로 악성 다중 서명이라고 부릅니다. 그러나 이는 광범위한 용어이며 실제로 사용자에게 Owner/Active 권한이 있는지 여부에 따라 구분할 수 있습니다.

복수 서명 사용

복수 서명 사용

아래 그림에서 사용자의 소유자/활성 권한이 제거되지 않았고 해커가 자신의 주소에 소유자/활성 권한을 승인했으며, 이 시점에서 계정은 사용자와 해커가 공동으로 제어하며(임계값 2) 사용자 주소와 해커 주소의 가중치는 모두 1입니다. 사용자는 개인 키/도우미를 보유하고 있고 소유자/활성 권한이 있지만 다음을 수행할 수 없습니다. 사용자가 개인 키/도우미를 보유하고 있고 소유자/활성 권한이 있더라도 사용자가 자산 전송 요청을 시작할 때 작업을 제대로 실행하려면 사용자와 해커의 주소 모두 서명해야 하므로 사용자는 자신의 자산을 전송할 수 없습니다.

다중 서명 중인 계정이 자산 전송을 수행하는 동안에는 을 실현하려면 다중 서명 확인이 필요하지만, 지갑 계정 입금에는 다중 서명이 필요하지 않습니다. 사용자가 계정 권한 상태를 정기적으로 확인하는 습관이 없거나 최근 이체한 적이 없는 경우 일반적으로 지갑 계정의 권한이 변경된 사실을 인지하지 못해 피해가 계속 발생할 수 있습니다. 지갑에 자산이 많지 않은 경우 해커는 대어를 잡기 위해 긴 줄을 쳐서 계정에 일정량의 디지털 자산이 쌓일 때까지 기다린 다음 모든 디지털 자산을 한꺼번에 훔칠 수 있습니다.

트론의 권한 관리 설계 메커니즘 사용

해커가 트론의 권한 관리 설계 메커니즘을 사용하여 사용자의 소유자/계정을 직접 계정으로 전송하는 시나리오도 있습니다.

해커가 트론의 권한 관리 설계 메커니즘을 사용하여 사용자의 소유자/활성 권한을 해커의 주소로 직접 이전하여(임계값은 여전히 1) 사용자가 소유자/활성 권한과 투표권까지 잃게 만드는 또 다른 시나리오도 있습니다. 해커가 사용자의 자산 전송을 막기 위해 다중 서명 메커니즘을 사용하는 것은 아니지만, 이러한 상황을 지갑의 악의적인 다중 서명이라고 부르는 것이 일반적이라는 점에 유의하는 것이 중요합니다.

두 시나리오의 결과는 동일합니다. 사용자에게 여전히 소유자/활성 권한이 있는지 여부와 관계없이 사용자는 계정에 대한 실질적인 제어권을 잃고 해커는 계정에 대한 가장 높은 권한을 얻어 계정 권한을 변경하고 자산을 이전하는 등의 작업을 수행할 수 있습니다.

악의적인 다중 서명 방법

미스트트랙에서 수집한 도난 양식과 결합하여 지갑이 악의적으로 다중 서명되는 일반적인 이유를 몇 가지 요약해봤습니다. 다음과 같은 상황에 직면했을 때 사용자가 더욱 주의를 기울이시기 바랍니다.

1. 사용자가 지갑을 다운로드할 때 올바른 방법을 찾지 못해 텔레그램, 트윗, 네티즌이 보낸 가짜 공식 웹사이트 링크를 클릭하고 가짜 지갑을 다운로드하여 개인키/헬프워드가 공개되고 지갑이 악의적으로 다중 서명된 경우입니다.

2. 사용자가 주유 카드, 기프트 카드를 판매하는 일부 피싱 충전 사이트에 접속한 경우, 주유 카드, 기프트 카드, VPN 서비스를 판매하는 일부 피싱 충전 사이트에 개인 키/헬프워드를 입력한 후 지갑 계정에 대한 통제권을 잃었습니다.

3. 장외 거래가 이루어지면 개인키/헬퍼를 탈취하려는 의도를 가진 누군가가 개인키/헬퍼를 탈취합니다. 개인 키/도움말 또는 다른 방법으로 계정에 대한 승인을 얻은 후 지갑이 악의적으로 과다 서명되어 자산이 손상될 수 있습니다.

4. 일부 사기꾼은 개인 키/헬퍼 단어를 제공합니다. 일부 사기꾼은 지갑 계정에서 자산을 인출할 수 없으며 도와주면 돈을 지급할 수 있다며 개인키/헬퍼워드를 제공합니다. 이 개인 키/헬프워드에 해당하는 지갑 주소에 자금이 있더라도, 사기꾼이 다른 주소로 인출 권한을 설정했기 때문에 아무리 많은 금액을 지불하거나 아무리 빨리 인출해도 인출할 수 없습니다.

5. 사용자가 TRON에서 피싱 링크를 클릭하는 덜 일반적인 시나리오도 있습니다. 사용자가 피싱 링크를 클릭하고 악성 데이터에 서명한 후 지갑이 악의적으로 카운터서명되는 경우입니다.

< strong>요약

이 가이드에서는 주로 트론 지갑을 예로 들어 다중 서명 메커니즘, 해커가 악의적인 다중 서명을 구현하는 과정 및 일련의 트릭을 설명하여 다중 서명 메커니즘에 대한 이해를 높이고 지갑의 악의적인 다중 서명을 방지하는 능력을 향상시키는 데 도움이 되길 바랍니다. 물론 악의적인 다중 서명 상황 외에도 일부 초보 사용자가 부주의하거나 작업에 대한 이해가 부족하여 실수로 지갑을 다중 서명으로 설정하여 돈을 이체하기 위해 여러 서명이 필요한 특수한 경우도 있을 수 있습니다. 이 경우 다중 서명 요건을 충족하거나 권한 관리 시스템에서 소유자/활성 권한으로 하나의 주소만 승인하면 단일 서명으로 복원할 수 있습니다.

마지막으로 Slow Fog 보안팀은 사용자에게 다음과 같이 권장합니다. 계정 권한을 정기적으로 확인하여 이상 징후가 있는지 확인할 것, 지갑은 공식 출처에서 다운로드할 것, <웹3 보안 시작 가이드｜가짜 지갑 및 개인키 도우미 유출 위험>에서 올바른 공식 웹사이트를 찾고 지갑의 진위를 확인하는 방법에 대해 설명한 바 있으며, 모르는 링크는 클릭하지 말고, 개인키/도움말은 쉽게 입력하지 말 것, 백신 소프트웨어(예: 카스퍼스키, AVG 등)와 피싱 위험 차단 플러그인(예: Scam Sniffer) 설치하기 등이 있습니다. 플러그인(예: Scam Sniffer)을 설치하여 디바이스 보안을 강화하세요.