서문:
OKX Web3는 다양한 유형의 체인 보안 질문에 답하는 "보안 특집" 칼럼을 특별히 기획했습니다. 사용자 주변에서 발생하는 가장 실제적인 사례와 보안 전문가 또는 기관이 공동으로 다양한 관점에서 질문을 공유하고 답변함으로써 얕은 것부터 깊은 것까지 안전한 거래의 규칙을 정리하고 요약하여 사용자 보안 교육을 강화하고 사용자 스스로 개인 키와 지갑 자산을 보호하는 방법을 배울 수 있도록 돕고자 합니다.
< /p>
어느 날 갑자기 누군가 100만원 상당의 지갑 주소로 개인 키를 보내왔다면 즉시 송금하시겠습니까?
그렇다면 이 글을 읽어보세요.
오케이엑스 웹3의 보안 이슈 01호에서는 암호화폐 업계에서 잘 알려진 보안 기관인 슬로우 포그 보안팀과 OKX 웹3 보안팀의 협업을 소개합니다. OKX Web3 보안팀이 가장 실제적으로 겪은 사례부터 공유할 수 있는 내용까지, 알찬 내용으로 가득합니다!
슬로우미스트 보안팀: OKX Web3에 초대해 주셔서 대단히 감사합니다. 업계를 선도하는 블록체인 보안 기업인 SlowMist는 보안 감사 및 자금 세탁 방지 추적을 통해 고객에게 서비스를 제공하고 있으며, 탄탄한 위협 인텔리전스 파트너십 네트워크를 구축했습니다. 2023년에 SlowMist는 고객, 파트너 및 공개 해킹 사고로 인해 총 1250만 달러 이상의 자금을 동결하도록 지원했습니다. 앞으로도 업계 및 보안과 관련하여 가치 있는 성과를 지속적으로 창출할 수 있기를 바랍니다.
OKX Web3보안팀: 안녕하세요, 여러분, 이 내용을 공유할 수 있게 되어 매우 기쁩니다. OKX Web3 보안팀은 주로 OKX Web3 지갑의 보안 기능 구축을 담당하며, 다음을 제공합니다. 제품 보안, 사용자 보안, 거래 보안 및 기타 다중 보호 서비스, 7X24 시간 사용자 지갑 보안을 동시에 보호하여 전체 블록 체인 보안 생태계를 유지하여 기여합니다.
Q1: 실제 도난 사례를 공유해 주시겠습니까?
슬로우 포그 보안팀: 첫째, 사용자가 개인 키나 니모닉을 온라인에 저장하는 경우가 대부분입니다. 예를 들어, 사용자들은 구글 문서도구, 텐센트 문서도구, 바이두 클라우드 드라이브, 위챗 컬렉션, 메모 등 클라우드 스토리지 서비스에 개인키나 니모닉을 저장하는 경우가 많은데, 이러한 플랫폼이 해커에게 수집되면 개인키를 쉽게 탈취당할 수 있습니다.
>
두 번째로, 사용자가 가짜 앱을 다운로드하여 개인 키 유출을 유발합니다. 예를 들어, 다중 서명 사기는 가장 대표적인 사례로, 사기범이 사용자가 가짜 지갑을 다운로드하도록 유도하여 지갑 도우미를 탈취한 다음 즉시 해당 사용자의 지갑 계정 권한을 변경하여 지갑 계정 권한을 사용자 본인으로부터 사용자 자신과 사기범이 공동으로 보유한 계정으로 변경하여 해당 지갑 계정의 통제권을 장악하는 방식입니다. 이러한 유형의 사기범은 사용자 계정에 일정 금액의 암호화폐 자산이 쌓일 때까지 기다리며 인내심을 갖고 일회성 송금을 시도하는 경향이 있습니다.
OKX Web3보안팀: Slow Fog는 개인 키를 탈취할 수 있는 두 가지 주요 시나리오 유형을 설명했으며, 사기범이 가짜 앱을 사용하여 사용자의 개인 키를 탈취하는 두 번째 시나리오는 본질적으로 다음과 같이 설명했습니다. 트로이 목마로, 이 유형의 트로이 목마는 사용자의 입력 방법, 사진 등에 액세스하여 사용자의 개인 키를 훔칩니다. IOS 사용자에 비해 안드로이드 사용자는 트로이목마 공격을 더 많이 받습니다. 다음은 두 가지 사례를 공유합니다.
사례 1: 사용자 피드백 지갑 자산이 탈취된 후, 저희 팀과 사용자가 조사 사실을 알게 된 후, 사용자가 구글을 통해 검색한 결과 위장된 데이터 플랫폼 소프트웨어를 다운로드하여 설치했는데 이 소프트웨어는 트로이목마 프로그램입니다. 그러나 사용자가 해당 플랫폼 소프트웨어를 검색했을 때 해당 링크가 구글 검색 TOP5에 표시되어 사용자가 공식 소프트웨어로 착각하게 되었습니다. 실제로 많은 사용자가 Google에서 제공하는 링크를 식별하지 못하기 때문에 이러한 방식으로 트로이 목마 공격을 받기 쉬우므로 방화벽, 바이러스 백신 소프트웨어, 호스트 구성 및 기타 일상적인 보안 보호 측면을 통해 사용자에게 권장합니다.
사례 2에서는 사용자가 디파이 프로젝트에 투자했다가 지갑 자산을 도난당했다고 신고했습니다. 그러나 분석 및 조사 결과, 디파이 프로젝트 자체에는 문제가 없으며, 사용자 B의 지갑 자산 도난은 트위터에서 해당 프로젝트에 댓글을 달았을 때 디파이 프로젝트의 공식 고객 서비스 담당자를 사칭한 상담원이 가짜 링크를 클릭하고 보조 단어를 입력하도록 유도하여 지갑 자산이 탈취된 것으로 확인되었습니다.
이 사례는 사기범의 수법이 영리하지 않다는 것을 보여주지만, 사용자들은 어떤 상황에서도 개인키를 쉽게 유출하지 말고 분별력을 키워야 한다는 인식을 높여야 할 필요가 있습니다. 또한, 저희 지갑은 이미 이 악성 도메인과 관련된 보안 위험에 대한 경고를 받은 바 있습니다.
< /p>
Q2: 최적의 개인키 저장 방법이 있나요? 개인 키에 대한 의존도를 줄이기 위한 현재 대안은 무엇인가요?
슬로우 포그 보안팀: 개인 키 또는 니모닉은 사실 도난이나 분실 시 복구가 어려운 단일 장애 지점 문제입니다. 현재 보안 다자간 컴퓨팅 MPC, 소셜 인증 기술, 시드리스/키리스, 사전 실행 및 영지식 증명 기술과 같은 새로운 기술은 사용자가 개인 키에 대한 의존도를 줄이는 데 도움이 되고 있습니다.
MPC를 예로 들면, 첫째, MPC 기술은 모든 참여자가 복잡한 공동 연산을 수행하여 작업을 완료하는 동시에 데이터가 비공개로 안전하게 유지되며 다른 참여자와 공유되지 않습니다. 둘째, MPC 지갑은 일반적으로 개인키를 여러 조각으로 나누어 여러 당사자가 관리하거나 여러 당사자가 생성한 가상 키를 사용하는 것으로, 완전한 개인키를 본 적이 없기 때문에 후자가 더 일반적일 수 있습니다. 요컨대, MPC의 핵심 아이디어는 위험을 분산하거나 재난 대비를 개선하기 위해 제어권을 분산하여 단일 장애 지점 및 기타 보안 문제를 효과적으로 방지하는 것입니다.
MPC에는 '키리스'라는 용어가 포함되며, 이는 '키가 없다'로 해석되거나 '개인 키가 없다'로도 설명할 수 있습니다. 그러나 이 "없음"은 실제 의미에서 키가 없다는 뜻이 아니라 사용자가 보조 단어 또는 개인 키를 백업할 필요가 없으며, 그 존재를 인식하지 못한다는 의미입니다. 키리스 월렛에 대해 알아야 할 3가지 사항은 다음과 같습니다.
1. 키리스 월렛을 만드는 동안 개인 키는 언제 어디서든 생성되거나 저장되지 않습니다.
2. 트랜잭션 서명에 개인키가 관여하지 않으며, 개인키는 언제든지 재구성되지 않습니다.
3. 키리스 지갑은 언제든지 완전한 개인 키와 시드 구문을 생성하거나 저장하지 않습니다.
OKX Web3보안팀: 현재 개인 키를 보관할 수 있는 완벽한 방법은 없습니다. 하지만 저희 보안팀은 개인키 관리를 위해 하드웨어 지갑 사용, 개인키 휴대, 다중 서명 설정, 니모닉의 분산 저장 등을 권장합니다. 예를 들어, 니모닉을 분산 저장한다는 것은 사용자가 니모닉을 두 개 이상의 그룹에 저장하여 니모닉 도난의 위험을 줄일 수 있다는 뜻입니다. 예를 들어, 다중 서명을 설정한다는 것은 사용자가 거래의 보안을 결정하기 위해 신뢰할 수 있는 사람을 공동 서명할 수 있다는 의미입니다.
>
물론 사용자의 지갑 개인키 보안을 보호하기 위해 OKX Web3 지갑의 하위 계층 전체 세트는 네트워크에 닿지 않으며, 사용자의 니모닉 단어 및 개인키 관련 정보는 모두 사용자의 장치 로컬 보존에서 암호화되며 관련 SDK도 기술 커뮤니티의 광범위한 검증을 통해 더욱 개방적이고 투명하게 오픈 소스입니다. 투명성. 또한 OKX Web3 월렛은 슬로우 미스트와 같은 주요 보안 기관과의 협업을 통해 엄격한 보안 감사를 거쳤습니다.
이 외에도 개인키 관리 부분의 경우 사용자를 더욱 안전하게 보호하기 위해 OKX Web3 보안팀은 더욱 강력한 보안 기능을 제공하고 계획하고 있으며, 지속적인 반복 업그레이드를 진행 중이며 여기에 간략하게 공유합니다."
1. 2단계 암호화. 현재 대부분의 지갑은 보통 암호로 암호화된 니모닉을 사용하여 암호화된 콘텐츠를 로컬에 저장하지만, 사용자가 트로이 목마 바이러스에 감염되면 트로이 목마가 암호화된 콘텐츠를 스캔하여 사용자가 입력한 암호를 청취하고, 사기꾼이 일단 청취하면 암호화된 콘텐츠를 복호화하여 사용자의 니모닉을 얻을 수 있습니다. 앞으로 OKX Web3 월렛은 니모닉 단어를 암호화하는 데 2단계 접근 방식을 사용하여 사기꾼이 트로이 목마를 통해 사용자의 비밀번호를 알아내더라도 암호화된 콘텐츠를 해독할 수 없도록 할 것입니다.
2. 개인 키 복사 보안. 대부분의 트로이목마는 개인키를 복사하는 과정에서 사용자의 클립보드에 있는 정보를 탈취하여 사용자의 개인키가 유출될 수 있습니다. 당사는 개인키의 일부를 복사하거나 클립보드 정보를 제때 지우는 등 사용자의 개인키 복사 과정의 보안을 강화하는 등 사용자가 개인키 정보 도난 위험을 줄일 수 있는 방법이나 기능을 추가할 계획입니다.
Q3: 도난당한 개인 키를 피싱하는 가장 일반적인 방법에는 어떤 것이 있나요?
슬로우 포그 보안팀: 저희가 관찰한 바에 따르면 피싱 활동은 매달 점차 증가하고 있습니다.
첫째, 현재 피싱 캠페인의 주요 위협은 월렛 드레인러이며, 다양한 형태로 일반 사용자를 지속적으로 공격하고 있습니다.
월렛 드레너는 피싱 웹사이트에 배포되어 사용자를 속여 지갑 자산을 탈취하는 악성 거래에 가입하도록 유도하는 암호화폐 관련 멀웨어입니다. 예를 들어, 가장 활발하게 활동하는 월렛 드레너는 다음과 같습니다.
1. 사회 공학을 통해 디스코드 토큰을 획득하고 이를 피싱하는 핑크 드레너 사회 공학은 일반적으로 사용자의 개인 정보를 교환하는 행위로 이해됩니다.
2. 도메인 서비스 공급업체를 대상으로 소셜 엔지니어링 공격을 수행하는 엔젤 드레인(Angel Drainer)도 있습니다. 엔젤 드레인은 도메인 계정에 액세스한 후 DNS 확인 정보를 수정하여 사용자를 가짜 웹사이트 등으로 리디렉션합니다.
둘째, 가장 일반적인 피싱 유형은 블라인드 피싱입니다. 블라인드 피싱이란 프로젝트와 상호작용하는 사용자가 자신이 무엇을 승인하기 위해 가입하는지 모르기 때문에 확인 버튼을 클릭하여 자금을 도난당하는 것을 의미합니다. 블라인드 피싱에 대해 몇 가지 예를 들어보겠습니다.
사례 1: 예를 들어, eth_sign. eth_sign은 모든 해시에 서명할 수 있는 공개 서명 방식으로, 거래 또는 모든 데이터에 서명할 수 있으며 일반적으로 사용자가 서명 내용을 이해하기에는 기술적으로 안전하지 않습니다. 서명의 내용을 읽기 어렵고 피싱의 위험이 있습니다. 다행인 점은 점점 더 많은 지갑이 이러한 종류의 서명에 대한 보안 경고를 제공하기 시작하여 자본 손실의 위험을 어느 정도 피할 수 있다는 것입니다.
사례 2: 허용 서명 피싱. 우리는 모두 ERC20 코인의 거래에서 사용자가 승인을 위해 승인 기능을 호출 할 수 있지만 허가 기능을 사용하면 사용자가 체인에서 서명을 생성 한 다음 지정된 사용자에게 일정량의 토큰을 사용할 수 있도록 권한을 부여하고 공격자는 허가 방법을 사용하여 피싱을 수행하고 피해자가 피싱 웹 사이트에 액세스하면 공격자는 사용자가 웹 사이트를 통해 허가 승인에 서명하도록 허용하고 사용자가 허가에 서명 한 후 공격자는 허가 방법을 사용하여 피싱을 수행한다는 것을 알고 있습니다. 피해자가 피싱 웹사이트를 방문하면 공격자는 웹사이트를 통해 사용자에게 허가 권한 서명을 요청하고, 사용자가 허가 권한에 서명한 후 공격자는 서명 후 데이터를 얻을 수 있으며, 공격자는 토큰 컨트랙트의 허가 기능을 호출하고 서명 데이터를 전달한 다음 체인에 브로드캐스트하여 토큰의 권한을 얻은 다음 사용자의 토큰을 탈취합니다.
사례 3: 은밀한 create2 기법입니다. create2를 사용하면 개발자가 이더넷 네트워크에 배포하기 전에 컨트랙트의 주소를 예측할 수 있습니다. 그런 다음 공격자는 create2를 기반으로 각 악성 서명에 대한 임시 새 주소를 생성할 수 있습니다. 공격자는 사용자를 속여 서명 권한을 부여한 후 이 주소에서 컨트랙트를 생성한 다음 사용자의 자산을 전송할 수 있습니다. 이러한 주소는 빈 주소이기 때문에 일부 피싱 플러그인 및 보안 회사의 모니터링 경고를 우회할 수 있으므로 매우 은밀하고 사용자가 쉽게 희생양이 될 수 있습니다.
요약하면, 피싱 사이트의 경우 사용자는 상호작용하기 전에 프로젝트의 공식 웹사이트를 확인하고, 상호작용 과정에서 악성 서명 요청을 주의해야 하며, 보조 단어나 개인 키를 제출하지 않도록 주의하고 보조 단어나 개인 키를 어디에도 유출해서는 안 된다는 점을 기억해야 합니다.
OKX Web3보안팀: 일반적인 피싱 방법을 연구하고 제품 측면에서 다각적인 보안 보호 기능을 제공하고 있습니다. 현재 사용자들이 경험하는 가장 중요한 피싱 수법 유형을 간략히 소개합니다.
첫 번째 유형인 허위 에어드롭 클래스. 해커는 일반적으로 피해자의 주소와 유사한 첫 번째와 마지막 주소를 생성하여 소액 송금, 0U 송금 또는 가짜 토큰을 에어드랍으로 전송하며, 이러한 유형의 거래는 사용자의 거래 내역에 표시되므로 사용자가 잘못된 주소를 복사하여 붙여넣기하지 않으면 자산 손실로 이어질 수 있습니다. 이러한 유형의 공격에 대응하기 위해 OKX Web3 지갑은 거래 내역을 식별하여 위험하다고 표시하고 사용자가 해당 주소로 돈을 이체할 때 보안 위험 경고를 제공할 수 있습니다.
< /p>
두 번째 범주인 유도 서명 범주입니다. 보통 해커들은 트위터, 디스코드, TG 등 유명 프로젝트의 공개 공간에 댓글을 달고 가짜 디파이 프로젝트 URL이나 에어드랍을 받을 수 있는 URL을 공개하여 사용자들이 이를 클릭하도록 유도하여 자산을 탈취합니다. 슬로우 미스트에서 언급한 eth_sign, permit, create2 및 기타 서명 기반 피싱 외에도 다음과 같은 몇 가지 방법이 더 있습니다.
방법 1: 직접 전송을 통해 메인 체인 토큰을 탈취합니다. 해커는 악성 컨트랙트 함수에 클레임, 보안 업데이트 등 매력적인 이름을 붙이고 실제 함수 로직은 비워둔 채 사용자의 메인 체인 토큰만 전송하는 경향이 있습니다. 현재 OKX Web3 지갑에는 거래가 업로드된 후 자산 변경 및 승인 변경을 표시하여 사용자에게 보안 위험을 경고하는 사전 실행 기능이 있습니다.
방법 2: 온체인 인증. 해커는 일반적으로 사용자가 승인/증액/감액/설정 승인에 대한 트랜잭션에 서명하도록 유도하며, 해커는 사용자의 토큰 자산을 전송할 주소를 지정하고 사용자가 서명한 후 해당 자산이 전송되면 사용자 계정을 실시간으로 모니터링하여 해당 자산이 즉시 이체되도록 합니다. 피셔에 대한 보안 프로세스는 적대적이며 지속적인 에스컬레이션 프로세스입니다.
대부분의 지갑은 해킹된 인증 주소의 보안 위험을 감지하지만, 공격자는 공격 방법도 업그레이드하고 있습니다. 예를 들어 공격자는 create2 기능을 사용하여 안전한 블랙 주소 데이터베이스에 없기 때문에 가볍게 우회할 수 있는 새 주소를 미리 계산합니다. 공격자는 물고기가 미끼를 물 때까지 기다렸다가 해당 주소로 이동하여 컨트랙트를 배포하고 사용자의 자금을 이체합니다. 예를 들어, 최근에는 일반 프로젝트의 컨트랙트이기 때문에 보안 제품 탐지를 우회할 수 있는 uniswap.multicall 컨트랙트를 사용자가 승인하도록 하는 공격자도 다수 발견되었습니다.
방법 3: 권한 변경: 여기에는 트론 권한 변경과 솔라나 권한 변경이 포함됩니다. 첫째, 트론 권한 변경에서 다중 서명은 트론 체인의 기능이며, 많은 피싱 웹 사이트에서 피셔는 계정 권한 거래를 변경하여 이체 거래로 위장하고 사용자가 실수로 거래에 서명하면 사용자의 계정이 다중 서명 계정이되고 사용자는 자신의 계정에 대한 제어권을 잃게됩니다. 둘째, 솔라나 권한 변경에서 피셔는 SetAuthority를 통해 사용자 토큰의 ATA 계정 소유자를 변경하고, 사용자가 거래에 서명하면 ATA 계정 소유자가 피셔가 되어 피셔가 사용자의 자산을 탈취할 수 있게 됩니다.
기타 방법: 또한 프로토콜 자체의 설계 메커니즘과 기타 문제로 인해 피셔가 쉽게 악용할 수 있습니다. 이더리움 기반 미들웨어 프로토콜인 EigenLayer의 queueWithdrawal 호출을 통해 다른 주소를 인출자로 지정할 수 있으며, 사용자는 피싱을 통해 거래에 서명하게 됩니다. 7일 후, 지정된 주소는 completeQueuedWithdrawal을 통해 사용자의 약정된 자산을 수령합니다.
세 번째 유형은 보조 단어 업로드입니다. 공격자는 종종 위장한 에어드랍 프로젝트 또는 가짜 새 도구를 제공하여 사용자가 개인 키 또는 니모닉을 업로드하도록 유도합니다(위의 예시 참조). 또한, 사용자가 니모닉을 업로드하도록 속이기 위해 플러그인 지갑 팝업을 위장하기도 합니다.
4분기: 핫월렛과 콜드월렛 공격 방법의 차이점
OKX Web3보안팀: 핫월렛과 콜드월렛의 차이점은 개인키를 저장하는 방식에 있는데, 콜드월렛은 보통 오프라인에 저장하는 반면 핫월렛은 네트워크 환경에 저장하는 경우가 많습니다. 따라서 콜드월렛과 핫월렛의 보안 위험은 서로 다릅니다. 위의 핫월렛 보안 위험은 매우 포괄적이므로 더 이상 확장하지 않겠습니다.
콜드월렛의 보안 위험은 주로 다음과 같습니다.
첫째, 사회 공학 및 물리적 공격의 위험과 거래 과정의 위험입니다. 사회 공학 및 물리적 공격의 위험은 콜드월렛이 일반적으로 오프라인에 저장되기 때문에 공격자가 사회 공학을 사용하여 사랑하는 사람이나 친구로 위장하여 콜드월렛에 접근할 가능성이 있다는 것을 말합니다.
둘째, 물리적 장치로서 손상되거나 분실될 수 있습니다. 거래 프로세스와 관련된 위험은 거래 과정에서 콜드월렛도 앞서 공격 모드에서 언급한 에어드랍, 유도 서명 및 기타 시나리오와 동일한 유형의 공격에 노출될 수 있다는 것입니다.
Q5: 첫 단락에서 언급했듯이"고가치 지갑 키 제공. strong>", 다른 피싱 함정에는 어떤 것이 있나요?
슬로우포그 보안팀: 네, '고가의 지갑 개인 키를 의도적으로 제공하는 것'은 수년 전에 등장한 매우 전형적인 사례이지만 지금도 이 사기에 속는 사람들이 여전히 존재합니다. 이런 종류의 사기는 실제로 사기꾼이 의도적으로 개인 키 도우미를 유출하고 개인 키 도우미를 지갑으로 가져오고 공격자는 항상 지갑을 모니터링하며 ETH를 전송하자마자 즉시 전송됩니다. 이러한 수법은 사용자의 욕심 심리를 이용한 것으로, 더 많은 사람이 가져올수록 수수료가 높아져 손실이 커집니다.
>
둘째, 일부 사용자는 공격할 가치가 없다고 생각할 수 있으며, 이러한 저방어 사고방식은 사용자를 공격에 취약하게 만듭니다. 이메일, 비밀번호, 은행 정보 등 모든 사람의 정보는 공격자에게 가치가 있습니다. 스팸 이메일의 링크를 클릭하지 않는 한 위협을 받지 않을 것이라고 생각하는 사용자도 있지만, 일부 피싱 이메일에는 이미지나 첨부 파일을 통해 멀웨어가 심어져 있을 수 있습니다.
마지막으로 보안에 대한 객관적인 이해가 필요한데, 이는 절대적인 보안이란 존재하지 않는다는 것입니다. 피싱 공격이 다양한 방식으로 진화하고 빠르게 발전하고 있다는 사실은 말할 것도 없고, 우리 모두 스스로 보안에 대한 인식을 지속적으로 학습하고 개선하는 것이 가장 신뢰할 수 있는 방법입니다.
OKX Web3보안팀: 피싱 공격자들은 사람들의 심리적 약점과 일반적인 보안 감독을 이용하는 경향이 있기 때문에 타사 피싱 함정을 방지하는 것은 실제로 복잡한 문제입니다. 많은 사람들이 평소에는 매우 조심하지만 갑자기 '큰 파이'를 만나면 경계를 늦추고 탐욕이 증폭되어 사기를 당하는 경우가 많습니다. 이 과정에서 인간 본성의 약점은 기술보다 더 클 것이며, 더 많은 보안 수단이 있더라도 사용자는 단기적으로는 무시되고 돌이켜 보면 오랫동안 속았다는 것을 알게 될 것입니다. 우리는 "공짜 점심은 없다"는 것을 분명히해야하며 항상 경계하고 보안 위험, 특히 내부의이 어두운 숲에있는 블록 체인에주의를 기울여야합니다.
>
Q6: 개인 키의 보안을 개선하기 위한 사용자 제안
< Strong>슬로우 포그 보안팀: 이 질문에 답하기 전에 먼저 공격자가 일반적으로 사용자의 자산을 탈취하는 방법을 정리해 보겠습니다. 공격자는 일반적으로 두 가지 방식으로 사용자의 자산을 탈취합니다.
방법 1: 사용자를 속여 탈취한 자산의 악성 거래 데이터에 서명하도록 유도합니다(예: 사용자가 자산을 승인하거나 공격자에게 전송하도록 속임수).
Slow Fog 보안팀: Slow Fog 보안팀:
Slow Fog 보안팀: 모드 2: 사용자가 악성 웹사이트나 앱에서 지갑의 니모닉을 입력하도록 속임수(예: 가짜 지갑 페이지에서 지갑의 니모닉을 입력하도록 사용자를 속여 유인)공격자가 지갑의 자산을 훔치는 방법을 알고 있으므로 가능한 위험에 대한 예방 조치를 취해야 합니다:
예방 1: 가능한 한 보이는 대로 서명하세요. 지갑은 웹3.0 세계로 진입하는 열쇠라고 하는데, 사용자 상호작용에서 가장 중요한 것은 맹목적인 서명을 거부하고, 서명하기 전에 서명의 데이터를 확인하고, 내가 서명하는 거래가 무엇을 하는 것인지 알고, 그렇지 않으면 서명을 포기하는 것입니다.
예방 2: 한 바구니에 계란을 담지 마세요. 지갑은 다양한 자산과 사용 빈도를 살펴 계층적으로 관리하여 자산에 대한 위험을 통제할 수 있습니다. 에어드랍과 같은 활동과 관련된 지갑은 사용 빈도가 높기 때문에 작은 자산을 보관하는 것이 좋습니다. 큰 자산은 일반적으로 사용 빈도가 낮으므로 콜드월렛에 보관하고 네트워크와 물리적 환경이 안전한지 확인 후 사용하는 것이 좋습니다. 하드웨어 지갑을 사용할 수 있다면 하드웨어 지갑을 사용해야 하는데, 하드웨어 지갑은 일반적으로 보조 단어 또는 개인 키를 직접 내보낼 수 없으므로 보조 단어 개인 키 도난 임계값을 높일 수 있기 때문입니다.
예방 3: 다양한 피싱 기법과 이벤트가 등장하고 있으며, 사용자는 스스로 다양한 피싱 기법을 식별하고 보안 인식을 개선하며 사기를 당하지 않도록 교육하고 스스로를 구할 수 있는 능력을 습득해야 합니다.
네 번째 예방법: 욕심내지 말고 여러 번 확인합니다. 또한 보다 포괄적인 자산 관리 솔루션을 배우고 싶은 사용자는 슬로우 미스트의 암호화 자산 보안 솔루션을 참조할 수 있으며, 보안 인식 및 자가 교육에 대해 자세히 알아보려면 블록체인 다크 포레스트 자가 도움말 매뉴얼을 참조할 수 있습니다.
OKX Web3보안팀: 개인키는 지갑의 암호화 자산에 접근하고 제어할 수 있는 유일한 자격 증명으로, 지갑의 개인키 보안을 보호하는 것이 매우 중요합니다.
예방법 #1: 디앱을 파악하세요. 온체인 디파이 투자 시, 가짜 디앱으로 인한 자산 손실을 방지하기 위해 사용 중인 디앱에 대해 충분히 이해하는 것이 중요합니다. OKX Web3 지갑에는 디앱에 대한 위험 감지 및 경고를 위한 여러 전략이 있지만, 공격자는 계속해서 공격 기술을 업데이트하고 보안 위험 감지를 우회할 것입니다. 사용자는 투자할 때 항상 주의를 기울여야 합니다.
예방 2: 서명을 파악하세요. 사용자는 온체인 거래에 서명할 때 거래를 확인하고 거래의 세부 사항을 이해했는지 확인해야 하며, 이해할 수 없는 거래에 맹목적으로 서명하지 않도록 주의해야 합니다.OKX Web3 지갑은 온체인 거래와 오프라인 서명을 파싱하고 실행을 시뮬레이션하여 자산 변경 및 승인 변경 결과를 표시합니다. 사용자는 트랜잭션을 실행하기 전에 이 결과를 집중적으로 살펴보고 기대에 부합하는지 확인할 수 있습니다.
예방법 #3: 어떤 소프트웨어를 다운로드하는지 파악하세요. 보조 거래 및 투자 소프트웨어를 다운로드할 때는 공식 플랫폼에서 다운로드했는지 확인하고 다운로드 후에는 바이러스 백신 소프트웨어를 사용해 적시에 검사해야 합니다. 악성 소프트웨어를 다운로드하면 트로이 목마는 스크린샷, 메모리 스캔, 캐시 파일 업로드 및 기타 수단을 통해 클립보드를 모니터링하여 사용자의 도우미 또는 개인키를 획득합니다.
예방 4: 보안 인식을 높이고 개인 키를 안전하게 보관하세요. 가능한 한 니모닉이나 개인 키와 같은 중요한 정보를 복사하거나 스크린샷을 찍지 말고, 이러한 유형의 정보를 타사 클라우드 플랫폼에 저장하지 마세요.
예방 5: 강력한 비밀번호 및 다중 서명, 비밀번호를 사용하는 과정에서 사용자는 비밀번호의 복잡성을 최대한 높여 해커가 개인 키 암호화 파일을 폭파한 후 입수하지 못하도록 해야 합니다. 거래 과정에서 다중 서명 메커니즘이 있는 경우 반드시 다중 서명을 사용하여 당사자의 니모닉 또는 개인 키가 유출되더라도 전체 거래에 영향을 미치지 않도록 해야 합니다.