피싱 2.0: 웹3.0에서 암호화폐 지갑을 탈취하는 보이지 않는 위협 웹3.0은 사용자가 자신의 데이터와 자산의 소유권을 되찾을 수 있는 디지털 개척지입니다. 하지만 이 새로운 패러다임은 그에 못지않게 정교한 디지털 포식자들을 양산하고 있습니다. 이것은 할아버지의 이메일 피싱 사기가 아닙니다. 이제 우리는 피싱 2.0 시대에 살고 있으며, 공격이 자동화되고 산업화되었으며 웹 3.0을 원활하게 만들기 위해 설계된 바로 그 프로토콜을 악용하고 있습니다. 익스플로잇된 인증으로 인해 미화 1조 4천 6백억 달러 이상의 손실을 입은 사용자 사건과 같은 최근의 사건은 새로운 보안 사고방식이 얼마나 중요하고 시급히 필요한지를 잘 보여주고 있습니다. 새로운 피싱 무기: 가짜 웹사이트를 넘어서 단순히 "https://"를 확인하는 시대는 지났습니다. 웹3 피싱은 지갑의 상호작용 계층에 대한 다층적 공격으로, 인증과 서명을 훔치는 데 중점을 둡니다. 1. 조용한 서명: 허가 및 허가2 피싱 공격자는 사용자의 경계를 우회하기 위해 편리한 기능을 악용합니다. 허가 피싱: ERC-20 허가 기능은 오프체인 서명을 통해 토큰 승인을 허용하여 가스를 절약합니다. 공격자는 이 서명을 얻기 위해 피싱 사이트를 위조합니다. 서명을 얻은 다음에는 허가 기능을 호출한 다음 주소에서 트랜잭션이 나타나지 않은 상태에서 토큰을 전송하여 토큰을 빼낼 수 있습니다. 이는 가스를 사용하지 않는 오프체인 서명 도용입니다. 퍼밋2 피싱: 유니스왑에서 도입한 퍼밋2는 토큰을 관리하기 위해 계약을 한 번만 승인할 수 있습니다. 유니스왑을 사용했다면 이 승인 기능이 설정되어 있을 것입니다. 피셔는 이와 유사하게 퍼밋2 서명을 도용하여 사용자가 유니스왑 계약에 승인한 토큰에 대한 액세스 권한을 부여합니다. 드레인 서비스(예: 핑크드레인, 인페르노드레인)는 이렇게 훔친 자산의 일부를 받는 경우가 많으며, 이는 "서비스로서의 드레인"(DaaS) 경제를 보여줍니다. 2. 백지 수표: 온체인 블라인드 서명 피싱 eth_sign 피싱: 이 방법은 백지 수표에 서명하는 것과 동일합니다. 지갑에 읽을 수 없는 16진수 데이터에 서명하도록 요청하여 서명자에게 무제한의 권한을 부여합니다. 메타마스크와 같은 지갑은 이에 대해 심각한 경고를 표시하며, imToken과 같은 다른 지갑은 이 기능을 비활성화했습니다. 어떤 상황에서도 eth_sign을 사용하지 마세요. 개인 서명 및 서명 유형 데이터 피싱: 읽기 쉽지만 오용될 경우 안전하지 않습니다. 항상 서명하는 내용을 면밀히 검토하세요. 일반적인 수법은 도메인 스푸핑(합법적인 opensea.io 대신 opensea.net에서 요청하는 것)입니다. 평문을 읽을 수 없는 경우 블라인드 서명으로 간주하고 거부하세요. 3. 양의 탈을 쓴 늑대: 인증 피싱(setApprovalForAll/approve) 가장 파괴적인 공격 중 하나입니다. 정상적으로 보이는 사이트(예: 손상된 PREMINT 프런트엔드)를 방문하면 "지갑을 연결하세요"라는 메시지가 표시될 수 있습니다. 그 대신, 악의적인 공격자에게 모든 NFT 또는 토큰을 컬렉션에서 전송할 수 있는 권한을 부여하는 setApprovalForAll 트랜잭션에 서명하게 됩니다. 마찬가지로 승인 피싱은 특정 토큰 잔액에 대한 액세스 권한을 부여하며, 일단 승인되면 공격자는 언제든 마음대로 자산을 전송할 수 있습니다. 규칙은 간단합니다. 지갑을 연결할 때는 절대로 승인이 필요하지 않아야 합니다. "연결" 프롬프트에서 setApprovalForAll 또는 승인 메시지가 표시되면 악성 사이트에 있는 것입니다. 4. 주소록 포이너: 주소 오염 피싱 이 공격은 기술적 결함이 아닌 사용자의 습관을 이용합니다. 해커는 스크립트를 사용하여 처음과 마지막 4~6자가 이전에 거래했던 주소와 일치하는 주소를 생성합니다. 그런 다음 지갑에 가치가 없는 작은 거래를 전송하여 거래 내역을 '오염'시키고, 나중에 송금할 때 기록에서 '최근' 주소를 부주의하게 복사하면 사기성 유사 주소를 붙여넣을 수 있습니다. 2024년 5월 1155 BTC($70만 달러 이상)의 손실을 초래한 사건에서 볼 수 있듯이 그 결과는 치명적입니다. 올바른 주소입니다: 0x**d9A1**b0B1e1aE382DbDc898Ea68012FfcB2**853a91** Malicious address: 0x**d9A1**C3788D81257612E2581A6ea0aDa244**853a91** Defense: 거래 기록에서 직접 주소를 복사하지 마세요. 검증된 지갑 주소록을 사용하세요. 항상 처음과 마지막 몇 글자 이상을 확인하세요. 5. 고스트 인 더 머신: CREATE2를 사용해 보안 우회하기 보안 도구와 지갑은 알려진 악성 주소의 블랙리스트를 사용합니다. 공격자는 CREATE2 옵코드를 사용하여 이를 우회할 수 있습니다. 공격자는 스마트 컨트랙트를 배포하기 전에 스마트 컨트랙트의 주소를 미리 계산할 수 있습니다. 공격자는 이 "깨끗한" 주소를 피해자에게 제공하고, 피해자가 이 주소와 상호작용한 후에야 미리 결정된 주소에 악성 컨트랙트를 배포합니다. 이렇게 하면 악성 활동이 너무 늦을 때까지 정적 블랙리스트 검사에 보이지 않게 됩니다. 도난의 산업화: 서비스형 디도스(DaaS) 피싱은 더 이상 단독 행위가 아니라 급성장하는 암시장 산업입니다. 인페르노 드레인, 엔젤 드레인, 핑크 드레인 같은 플랫폼은 피싱 키트를 서비스로 제공합니다. 공격자는 이러한 인프라를 사용하기 위해 비용을 지불합니다: 블랙리스트 회피를 위한 자동 주소 생성. 수천 개의 손상된 웹사이트에 악성 스크립트 통합(Seaport, 월렛커넥트 또는 코인베이스 SDK로 위장). 피해자 연결, 성공적인 유출, 탈취된 자산 가치에 대한 통계를 보여주는 전체 관리 대시보드. 프로세스가 간소화됩니다: 공격자가 소셜 미디어(X, Discord)를 통해 피싱 사이트를 홍보합니다. 피해자가 지갑에 연결합니다. 드레이너는 가장 가치 있고 유동적인 자산을 검색합니다. 악성 거래를 유도합니다. 피해자가 확인하면 자산이 유출됩니다: 20%는 DaaS 운영자에게, 80%는 공격자에게 전달됩니다. 이 모델은 100개 이상의 암호화폐 브랜드에 영향을 미치는 16,000개 이상의 악성 도메인과 연결되어 있어 위협의 규모를 엄청나게 확장했습니다. 방어 프로토콜: 필수 체크리스트 샤크팀과 같은 보안 전문가의 분석에 기반한 웹3.0에서의 생존 가이드에는 반드시 다음 사항이 포함되어야 합니다: 모든 링크를 적대적인 것으로 간주: 에어드랍, 보상, 공식적으로 보이는 '긴급한' 메시지는 주요 공격 벡터입니다. 여러 공식 채널을 통해 확인합니다. 공식 채널이 해킹당할 수 있다고 가정하세요: 합법적인 프로젝트의 트위터/디스크 계정이 해킹당하는 일은 흔한 일입니다. 공지를 맹목적으로 믿지 마세요. 확인한 후 다시 확인하세요: 애플리케이션 URL, 브라우저 확장 프로그램, 다운로드한 소프트웨어를 항상 확인합니다. 공식 사이트를 북마크에 추가하세요. 모든 서명 및 거래 내용을 읽으세요: 이것은 타협할 수 없는 사항입니다. 송금과 송금의 차이점을 이해하세요. 블라인드 서명(eth_sign)은 거부하세요. 모든 승인 및 설정에 의문을 제기합니다. "제로 트러스트" 사고방식을 채택하세요: 탈중앙화된 세상에서 여러분은 스스로의 관리자입니다. 기본적으로 모든 것을 의심하세요. "원클릭" 상호작용의 편리함은 보안의 적입니다. 보안 도구를 사용하세요: 지갑 거래 미리 보기와 권한 관리 도구(예: revoke.cash)를 사용해 불필요한 권한을 정기적으로 감사하고 취소하세요. 거래 내역 보호: 거래 내역에서 주소를 복사하지 마세요. 자주 연락하는 연락처는 지갑의 주소록을 사용하세요. 최악의 상황이 발생했을 때 피싱을 당한 것으로 의심되는 경우: 즉시 조사합니다: 블록체인 탐색기를 사용해 주소에서 승인되지 않은 승인 또는 설정된 승인 이벤트가 있는지 확인하세요. 권한 취소하기: 권한 취소 도구를 사용하여 불필요한 토큰/NFT 승인을 모두 차단하세요. 전문가의 도움을 구하세요: 블록체인 보안 회사에 즉시 연락하세요. 도난당한 자산을 추적하거나 동결하려면 시간이 매우 중요합니다. Web3의 탈중앙화된 특성은 보안이 더 이상 플랫폼의 IT 부서에 아웃소싱되지 않는다는 것을 의미합니다. 보안은 전적으로 개인에게 달려 있습니다. 기만적인 서명과 중독된 주소부터 산업화된 DaaS 플랫폼에 이르기까지 이러한 피싱 2.0 기술을 이해하면 잠재적인 피해자가 아니라 자신의 디지털 영역을 경계하는 수호자로 변신할 수 있습니다. Web3에서 소유권의 힘은 가장 중요한 방어 책임과 함께 제공됩니다. 정신을 바짝 차리고 회의적인 태도를 유지하며 항상 확인해야 합니다.