소개: OKX Web3 Wallet은 다양한 유형의 온체인 보안 문제에 대한 특별한 답변을 제공하기 위해 "보안 특별 문제" 칼럼을 특별히 기획했습니다. 사용자 주변에서 일어나는 가장 실제 사례를 통해 보안 분야의 전문가나 기관과 협력하여 다양한 관점에서 질문을 공유하고 답변함으로써 안전한 거래 규칙을 얕은 것부터 심층적으로 정리하고 요약하여 사용자 안전 강화를 목표로 합니다. 교육 및 사용자가 개인 키와 지갑 자산의 보안을 스스로 보호하는 방법을 배우도록 돕습니다.
털털기 작업은 호랑이처럼 맹렬하고 안전율은 마이너스 5?
체인에서 상호 작용을 자주 사용하는 미용사에게는 안전이 항상 최우선 과제입니다.
오늘은 두 개의 주요 체인에 있는 "함정 회피의 왕"이 보안 보호 전략을 수행하는 방법을 알려줄 것입니다.
이번 호는 보안 특집 03호로, 업계 최고의 보안 전문가인 0x AA와 OKX Web3 지갑 보안팀을 초청해 '털 많은 사람들'의 일반적인 보안 위험과 예방법을 실무 지침 관점에서 설명했습니다.
WTF Academy: OKX Web3의 초대에 진심으로 감사드립니다. 저는 WTF Academy의 0x AA입니다. WTF Academy는 개발자가 Web3 개발을 시작할 수 있도록 돕는 Web3 오픈 소스 대학입니다. 올해 우리는 Web3 구조 프로젝트인 RescuETH(온체인 구조팀)를 인큐베이팅하여 사용자의 도난당한 지갑에 남아 있는 자산을 구출하는 데 중점을 두고 있습니다. 현재 우리는 이더리움, 솔라나, 코스모스에서 300만 위안 이상의 도난 자산을 성공적으로 구출했습니다. .
OKX Web3 지갑 보안 팀: 안녕하세요 여러분, 이 소식을 공유하게 되어 매우 기쁩니다. OKX Web3 지갑 보안팀은 지갑 보안 기능 구축, 스마트 계약 보안 감사, 온체인 프로젝트 보안 모니터링 등 Web3 분야에서 OKX의 다양한 보안 기능 구축을 주로 담당하여 사용자에게 제품을 제공합니다. 보안, 자금 보안, 거래 보안 등 다양한 보호 서비스를 통해 블록체인 전체의 보안 생태계를 유지하는데 기여합니다.
Q1: 헤어 자위행위자가 겪는 실제 위험 사례 몇 가지를 공유해 주세요.
WTF Academy: 개인 키 유출은 Lumao 사용자가 직면한 주요 보안 위험 중 하나입니다. 기본적으로 개인 키는 암호화 자산을 제어하는 데 사용되는 문자열입니다. 개인 키를 소유한 사람은 누구나 해당 암호화 자산에 대한 모든 권한을 갖습니다. 개인키가 유출되면 공격자는 승인 없이 사용자의 자산에 접근, 전송, 관리할 수 있어 사용자에게 재정적 손실을 입힐 수 있습니다. 따라서 개인키가 도난당한 몇 가지 사례를 집중적으로 공유해 드리겠습니다.
Alice(가명)는 소셜 미디어에서 해커에 의해 악성 코드를 다운로드하도록 유도되었으며, 악성 코드를 실행한 후 개인 키가 도난당했습니다. 현재 악성 코드는 마이닝 스크립트, 게임, 악성 코드 등 다양한 형태로 나타나며 사용자는 이에 대한 개선이 필요합니다. 회의 소프트웨어, Chongtugou 스크립트, 클립 로봇 등에 대한 보안 인식
Bob(가명)이 실수로 GitHub에 개인 키를 업로드한 후 다른 사람이 이를 획득하여 자산을 도난당하는 일이 발생했습니다.
칼(가명)이 해당 프로젝트의 공식 테게그램 그룹에 문의했을 때, 자신에게 적극적으로 연락하고 니모닉 문구를 유출한 가짜 고객 서비스를 믿었고, 이후 그의 지갑 자산을 도난당했습니다.
OKX Web3 Wallet 보안팀: 이러한 위험 사례가 많이 있습니다. 사용자가 자위할 때 직면하게 되는 몇 가지 전형적인 사례를 선택했습니다.
첫 번째 범주는 모방 수준이 높은 계정에서 발행된 가짜 에어드랍입니다. A씨는 인기 프로젝트를 위해 트위터를 탐색하던 중 최근 트위터 하단에 에어드랍 이벤트 공지를 발견한 뒤 해당 공지 링크를 클릭해 에어드랍에 참여했고, 결국 피싱을 당하게 됐다. 현재 많은 피싱 공격자들이 공식 계정을 모방하고 공식 트위터에 허위 공지를 게시하여 사용자의 미끼를 물도록 유도하고 있습니다.
두 번째 범주는 공식 계정이 탈취되는 것입니다. 특정 프로젝트의 공식 트위터와 디스코드 계정이 해킹되었고, 해커는 해당 프로젝트의 공식 계정에서 에어드랍 이벤트에 대한 가짜 링크를 게시했습니다. 해당 링크는 공식 채널에서 게시되었기 때문에 사용자 B는 클릭 후 해당 링크의 진위를 의심하지 않았습니다. 에어드랍에 참여하기 위해 이 링크를 피싱을 당했습니다.
세 번째 범주는 악의적인 프로젝트 당사자를 만나는 것입니다. 사용자 C는 특정 프로젝트의 채굴 활동에 참여할 때 더 높은 보상 수입을 얻기 위해 모든 USDT 자산을 프로젝트의 스테이킹 계약에 투자합니다. 그러나 스마트 계약은 엄격하게 감사되지 않았고 오픈 소스가 아니었기 때문에 프로젝트 팀은 계약에 예약된 백도어를 통해 사용자 C가 계약에 예치한 모든 자산을 훔쳤습니다.
수십, 수백 개의 지갑을 보유하고 있는 경우가 많은 Lumao 사용자에게는 지갑과 자산의 보안을 어떻게 보호할 것인지가 매우 중요한 주제입니다. 항상 경계하고 보안 인식을 높여야 합니다.
Q2: 빈도가 높은 사용자로서 온체인 상호작용에서 털이 많은 사람들이 직면하는 일반적인 유형의 보안 위험 및 보호 조치
WTF Academy: lumao 사람들과 심지어 모든 Web3 사용자들에게 있어서 두 가지 일반적인 보안 위험 유형은 피싱 공격과 개인 키 유출입니다.
첫 번째 유형은 피싱 공격입니다. 해커는 일반적으로 공식 웹사이트나 애플리케이션을 위조하고 사용자가 소셜 미디어 및 검색 엔진을 클릭하도록 속인 다음 사용자가 피싱 웹사이트를 거래하거나 로그인하도록 유도하여 토큰 인증을 획득하고 사용자 자산을 훔칩니다.
예방 조치: 첫째, 사용자는 공식 채널(예: 공식 Twitter 프로필의 링크)에서 공식 웹사이트 및 애플리케이션에만 접속하는 것이 좋습니다. 둘째, 사용자는 보안 플러그인을 사용하여 일부 피싱 웹사이트를 자동으로 차단할 수 있습니다. 셋째, 사용자가 의심스러운 사이트에 접속하면 전문 보안 담당자에게 문의해 피싱 사이트인지 여부를 판단할 수 있다.
두 번째 범주는 개인 키 유출입니다. 이는 이전 질문에서 소개되었으므로 여기서는 확장하지 않겠습니다.
예방 조치: 첫째, 사용자의 컴퓨터나 휴대폰에 지갑이 설치되어 있는 경우 비공식 채널에서 의심스러운 소프트웨어를 다운로드하지 마십시오. 둘째, 사용자는 공식 고객 서비스가 일반적으로 귀하에게 개인 키와 니모닉 문구를 가짜 웹사이트에 보내거나 입력하도록 요청하는 것은 물론, 귀하에게 개인 메시지를 보내는 데 주도권을 갖지 않는다는 것을 알아야 합니다. 셋째, 사용자의 오픈소스 프로젝트에서 프라이빗 키를 사용해야 하는 경우, 먼저 .gitignore 파일을 구성하여 프라이빗 키가 GitHub에 업로드되지 않도록 하세요.
OKX Web3 지갑 보안 팀: 온체인 상호 작용에서 사용자가 직면하는 5가지 일반적인 보안 위험 유형을 요약하고 각 위험 유형에 대한 몇 가지 보호 조치를 나열했습니다.
1. 에어드랍 사기
위험 프로필: 일부 사용자는 지갑 주소에 알 수 없는 토큰이 많이 나타나는 경우가 많습니다. 이러한 토큰은 일반적으로 일반적으로 사용되는 DEX 거래에서 실패합니다. 페이지에는 사용자에게 교환을 위해 공식 웹사이트로 이동하라는 메시지가 표시됩니다. 승인된 거래를 수행하는 경우, 스마트 계약에는 종종 계정 자산을 양도할 수 있는 권한이 부여되며, 이는 궁극적으로 자산 도난으로 이어집니다. 예를 들어, 많은 사용자가 갑자기 지갑에 수십만 달러 상당의 가치가 있는 대량의 Zape 코인을 받은 Zape 에어드랍 사기를 생각해 보세요. 이로 인해 많은 사람들은 자신이 예기치 않게 큰 돈을 벌었다고 착각하게 됩니다. 그러나 이것은 실제로 정교한 함정입니다. 이러한 토큰은 공식 플랫폼에서 찾을 수 없기 때문에 현금화를 원하는 많은 사용자는 토큰 이름을 기반으로 소위 "공식 웹사이트"를 찾을 것입니다. 지갑을 연결하라는 메시지를 따른 후 토큰을 판매할 수 있다고 생각했지만 일단 승인되면 지갑에 있는 모든 자산이 즉시 도난당했습니다.
보호 조치: 에어드랍 사기를 피하려면 사용자가 매우 경계하고, 정보 출처를 확인하고, 항상 공식 채널(예: 프로젝트 공식 웹사이트, 공식 소셜 미디어 계정, 공식 공지 등)에서 에어드랍 정보를 얻어야 합니다. 개인 키와 니모닉 문구를 보호하고, 수수료를 지불하지 말고, 커뮤니티와 도구를 사용하여 잠재적인 사기를 확인하고 식별하세요.
2. 악성 스마트 계약
위험 프로필: 감사되지 않거나 오픈 소스가 아닌 많은 스마트 계약에는 사용자 자금의 안전을 보장할 수 없는 허점이나 백도어가 포함될 수 있습니다.
보호 조치: 사용자는 공식 감사 회사의 엄격한 감사를 받은 스마트 계약과만 상호 작용하도록 노력하거나 프로젝트의 보안 감사 보고서를 확인하는 데 주의를 기울여야 합니다. 또한 버그 현상금이 있는 프로젝트는 일반적으로 더 안전합니다.
3. 권한 관리:
위험 프로필: 대화형 계약에 대한 과도한 승인은 자금 도난으로 이어질 수 있습니다. 여기에서는 다음 예를 제공합니다. 1) 계약은 업그레이드 가능한 계약입니다. 특권 계정의 개인 키가 유출되면 공격자는 개인 키를 사용하여 업그레이드할 수 있습니다. 악성 버전으로 계약하여 승인된 사용자의 자산을 훔칩니다. 2) 계약에 미확인 취약점이 있는 경우 과도한 승인으로 인해 공격자가 이러한 취약점을 악용하여 향후 자금을 훔칠 수 있습니다.
보호조치 : 쌍방향 계약에 대해서는 원칙적으로 필요한 만큼만 권한을 부여하며, 불필요한 권한은 정기적으로 확인하여 철회해야 합니다. 오프체인 허가 승인에 서명할 때 대상 계약/자산 유형/승인 금액을 명확히 하고 커밋하기 전에 다시 한 번 생각해야 합니다.
4.피싱 승인
위험 프로필: 악의적인 링크를 클릭하여 악의적인 계약이나 사용자를 인증하도록 유도되는 행위
보호 조치: 1) 블라인드 서명 방지: 거래에 서명하기 전에 서명하려는 거래의 내용을 이해하고 작업의 모든 단계가 명확하고 필요한지 확인하십시오. 2) 권한 대상을 주의 깊게 다루십시오. 권한 대상이 EOA 주소(외부 소유 계정)이거나 확인되지 않은 계약인 경우에는 주의가 필요합니다. 확인되지 않은 계약에는 악성 코드가 포함될 수 있습니다. 3) 피싱 방지 플러그인 지갑 사용: OKX Web3 지갑 등 피싱 방지 기능이 있는 플러그인 지갑을 사용하세요. 이러한 지갑은 악성 링크를 식별하고 차단하는 데 도움이 될 수 있습니다. 4) 니모닉 문구 및 개인 키 보호: 니모닉 문구 또는 개인 키를 요구하는 모든 웹사이트는 피싱 링크입니다. 웹사이트나 애플리케이션에 이러한 민감한 정보를 입력하지 마세요.
5. 악성 머리카락을 키우는 스크립트
위험 프로필: 악의적인 머리카락을 키우는 스크립트를 실행하면 트로이 목마가 컴퓨터에 이식되어 개인 키가 도난당하게 됩니다.
보호 조치: 알 수 없는 모발 키우기 스크립트나 모발 키우기 소프트웨어를 실행할 때는 주의하십시오.
간단히 말해서, 우리는 사용자가 체인에서 상호 작용할 때 조심하고 조심하여 지갑과 자산의 보안을 보호할 수 있기를 바랍니다.
Q3: 고전적인 낚시 유형과 기술을 분류하고, 이를 식별하고 피하는 방법은 무엇입니까?
WTF Academy: 저는 다른 관점에서 이 질문에 다시 대답하고 싶습니다. 사용자가 자신의 자산이 도난당한 사실을 발견하면 그것이 피싱 공격인지 개인 키 유출인지 어떻게 식별할 수 있습니까? 사용자는 일반적으로 다음 두 가지 유형의 공격 특성을 식별할 수 있습니다.
1. 피싱 공격의 특징: 해커는 일반적으로 피싱 웹사이트를 이용해 사용자의 단일 지갑에 있는 단일 또는 다중 자산에 대한 권한을 얻어 자산을 훔칩니다. 일반적으로 도난당한 자산의 유형은 사용자가 피싱 웹사이트를 승인한 횟수와 동일합니다.
2. 개인키/니모닉 구문 유출의 특징: 해커는 사용자의 단일 또는 다중 지갑에 있는 모든 체인의 모든 자산을 완전히 제어할 수 있습니다. 따라서 다음 중 하나 이상의 특징이 나타날 경우 개인키가 유출될 가능성이 높습니다.
1) 네이티브 토큰을 인증할 수 없어 네이티브 토큰(예: ETH 체인의 ETH)을 도난당했습니다.
2) 멀티체인 자산이 도난당했습니다.
3) 다수의 지갑 자산을 도난당했습니다.
4) 하나의 지갑에서 다수의 자산이 도난당했으며, 해당 자산은 승인되지 않은 것으로 명확히 기억되었습니다.
5) 토큰이 도난당하기 전이나 동일한 거래(승인 이벤트)에서 승인이 없었습니다.
6) 전송된 Gas는 해커에 의해 즉시 전송됩니다.
위의 특성을 충족하지 못한다면 피싱 공격일 가능성이 높습니다.
OKX Web3 Wallet 보안팀: 피싱을 피하세요. 우선 2가지 사항에 주의해야 합니다. 1) 어떤 웹페이지에서도 니모닉 문구/개인 키를 입력하지 마세요.
방문하는 링크가 공식 링크인지 확인하고 지갑 인터페이스의 확인 버튼을 주의해서 클릭하세요.
다음으로, 사용자가 보다 직관적으로 이해할 수 있도록 고전적인 낚시 장면의 몇 가지 루틴을 공유합니다.
1. 가짜 웹사이트 피싱: 공식 DApp 웹사이트를 가짜로 만들어 사용자가 개인 키나 니모닉 문구를 입력하도록 유도합니다. 따라서 사용자를 위한 첫 번째 원칙은 자신의 지갑 개인 키나 니모닉 문구를 누구에게도, 어떤 웹사이트에도 제공하지 않는 것입니다. 둘째, URL이 올바른지 확인하십시오. 공식 북마크를 사용하여 일반적으로 사용되는 DApp에 액세스하고 일반 주류 지갑을 사용하십시오. 예를 들어 OKX Web3 지갑은 감지된 피싱 웹사이트에 대해 경고합니다.
2. 메인 체인 토큰 훔치기: 악의적인 계약 기능은 오해의 소지가 있는 이름으로 Claim, SeurityUpdate, AirDrop 등으로 명명됩니다. 실제 기능 로직은 비어 있으며 사용자의 메인 체인 토큰만 전송합니다.
3. 유사한 주소에서 이체: 사기꾼은 주소 충돌을 사용하여 사용자의 관련 주소와 첫 번째 및 마지막 숫자가 동일한 주소를 생성하거나, transferFrom을 사용하여 중독에 대해 0 금액 이체를 수행하거나, 가짜 USDT를 사용하여 특정 금액 등을 사용하여 사용자의 거래 내역을 오염시키는 행위로, 사용자가 후속 이체를 위해 거래 내역에서 잘못된 주소를 복사할 것으로 예상합니다.
4. 가짜 고객 서비스: 해커는 고객 서비스인 것처럼 가장하고 소셜 미디어나 이메일을 통해 사용자에게 연락하고 개인 키나 니모닉 문구를 요구합니다. 공식 고객 서비스에서는 개인 키를 요구하지 않으며 이러한 요청을 무시합니다.
Q4: 전문 미용사가 각종 도구를 사용할 때 주의해야 할 안전 사항은 무엇인가요?
WTF아카데미: 자위행위 사용자가 사용하는 도구의 종류가 다양하므로,
1. 지갑 보안: 개인키나 니모닉 문구가 유출되지 않았는지 확인하고, 개인키를 안전하지 않은 곳에 보관하지 말고, 알 수 없거나 신뢰할 수 없는 웹사이트 등에 개인키를 입력하지 마세요. 사용자는 개인 키나 니모닉 문구의 백업을 오프라인 저장 장치나 암호화된 클라우드 저장소와 같은 안전한 장소에 보관해야 합니다. 또한, 고가치 자산을 보관하는 지갑 사용자의 경우 다중 서명 지갑을 사용하면 보안을 강화할 수 있습니다.
2. 피싱 공격 예방: 사용자는 관련 웹사이트를 방문할 때 URL을 주의 깊게 확인하고 출처를 알 수 없는 링크를 클릭하지 않아야 합니다. 프로젝트 공식 웹사이트나 공식 소셜 미디어에서 다운로드 링크와 정보를 얻고, 제3자 소스를 사용하지 마세요.
3. 소프트웨어 보안: 사용자는 맬웨어 및 바이러스 공격을 방지하기 위해 장치에 바이러스 백신 소프트웨어가 설치되고 업데이트되었는지 확인해야 합니다. 또한 지갑 및 기타 블록체인 관련 도구는 최신 보안 패치를 사용하도록 정기적으로 업데이트되어야 합니다. 이전의 많은 지문 브라우저와 원격 데스크톱에는 보안 취약점이 있었기 때문에 사용을 권장하지 않습니다.
위의 조치를 통해 사용자는 다양한 도구를 사용할 때 보안 위험을 더욱 줄일 수 있습니다.
OKX Web3 지갑 보안 팀: 먼저 업계의 공개 사례를 살펴보겠습니다.
예를 들어, BitFingerprint Browser는 다중 계정 로그인, 창 연결 방지, 독립적인 컴퓨터 정보 시뮬레이션 등의 기능을 제공하며 일부 사용자가 선호합니다. 그러나 2023년 8월 일련의 보안 사고로 인해 잠재적인 위험이 노출되었습니다. 특히 비트 브라우저의 '플러그인 데이터 동기화' 기능을 통해 사용자는 플러그인 데이터를 클라우드 서버에 업로드하고 비밀번호를 입력해 새 기기로 빠르게 마이그레이션할 수 있다. 이 기능은 사용자 편의를 위해 설계되었지만 보안 위험도 존재합니다. 해커가 서버에 침입하여 사용자의 지갑 데이터를 획득했습니다. 해커들은 무차별 크래킹 방법을 통해 데이터에서 사용자의 지갑 비밀번호를 크랙하고 지갑 권한을 얻었습니다. 서버 기록에 따르면 확장캐시가 저장된 서버는 8월 초(로그 기록은 8월 2일까지) 불법 다운로드됐다. 이번 사건은 우리가 편리함을 즐기면서도 잠재적인 안전 위험에도 경각심을 가져야 함을 일깨워줍니다.
따라서 사용자는 해커 및 데이터 유출 위험을 피하기 위해 사용하는 도구가 안전하고 신뢰할 수 있는지 확인하는 것이 중요합니다. 일반적으로 사용자는 다음 차원에서 특정 보안을 향상시킬 수 있습니다.
1. 하드웨어 지갑 사용법: 1) 정기적으로 펌웨어를 업데이트하고 공식 채널을 통해 구매하세요. 2) 안전한 컴퓨터에서 사용하시고, 공공장소에서의 접속은 피해주세요.
2. 브라우저 플러그인 사용:) 타사 플러그인 및 도구를 주의해서 사용하고 OKX Web3 지갑 등 평판이 좋은 제품을 선택하십시오. 2) 신뢰할 수 없는 웹사이트에서는 지갑 플러그인을 사용하지 마세요.
3. 거래 분석 도구 사용: 1) 거래 및 계약 상호 작용을 위해 신뢰할 수 있는 플랫폼을 사용합니다. 2) 오작동을 방지하기 위해 계약 주소 및 호출 방법을 주의 깊게 확인하십시오.
4. 컴퓨터 장비 사용: 1) 정기적으로 컴퓨터 장비 시스템을 업데이트하고, 소프트웨어를 업데이트하고, 보안 취약점을 패치합니다. 2) 컴퓨터 시스템 바이러스를 정기적으로 검사하고 제거하는 보안 안티 바이러스 소프트웨어.
Q5: 단일 지갑과 비교하여 Lumaor는 어떻게 여러 지갑과 계정을 더 안전하게 관리할 수 있습니까?
WTF 아카데미: Lumao 사용자는 체인에서 자주 상호 작용하고 동시에 여러 지갑과 계정을 관리하므로 자산 보안에 특별한 주의를 기울여야 합니다.
1. 하드웨어 지갑 사용: 하드웨어 지갑을 사용하면 사용자는 동일한 장치에서 여러 지갑 계정을 관리할 수 있습니다. 각 계정의 개인 키는 하드웨어 장치에 저장되므로 상대적으로 더 안전합니다.
2. 분리된 보안 전략 및 분리 운영 환경: 첫 번째는 분리된 보안 전략으로 사용자는 다양한 목적으로 지갑을 분리하여 위험을 분산시키는 목적을 달성할 수 있습니다. 예를 들어 에어드롭 지갑, 트레이딩 지갑, 스토리지 지갑 등이 있습니다. 또 다른 예로, 핫 지갑은 일상적인 거래와 머리 기르기 작업에 사용되는 반면, 콜드 지갑은 중요한 자산의 장기 보관에 사용되므로 한 지갑이 손상되더라도 다른 지갑에는 영향을 미치지 않습니다.
두 번째는 운영 환경의 분리입니다. 사용자는 서로 다른 장치(예: 휴대폰, 태블릿, 컴퓨터 등)를 사용하여 서로 다른 지갑을 관리하여 한 장치의 보안 문제가 모든 지갑에 영향을 미치지 않도록 할 수 있습니다.
3. 비밀번호 관리: 사용자는 각 지갑 계정에 대해 강력한 비밀번호를 설정해야 하며 동일하거나 유사한 비밀번호의 사용을 피해야 합니다. 또는 비밀번호 관리자를 사용하여 여러 계정의 비밀번호를 관리하여 각 비밀번호가 독립적이고 안전한지 확인하세요.
OKX Web3 지갑 보안 팀: Lumao 사용자의 경우 여러 지갑과 계정을 보다 안전하게 관리하는 것이 쉽지 않습니다. 예를 들어 지갑 보안은 다음 차원에서 향상될 수 있습니다.
1. 위험을 다양화하세요: 1) 모든 자산을 하나의 지갑에 넣지 말고 보관을 다양화하여 위험을 줄이세요. 자산 유형 및 용도에 따라 하드웨어 지갑, 소프트웨어 지갑, 콜드 지갑, 핫 지갑 등 다양한 유형의 지갑을 선택하세요. 2) 다중 서명 지갑을 사용하여 대량의 자산을 관리하고 보안을 강화합니다.
2. 백업 및 복구: 1) 니모닉 단어와 개인 키를 정기적으로 백업하고 안전한 여러 장소에 보관하세요. 2) 개인 키 유출을 방지하기 위해 콜드 스토리지용 하드웨어 지갑을 사용합니다.
3. 반복되는 비밀번호 방지: 각 지갑과 계정에 강력한 비밀번호를 설정하고 동일한 비밀번호를 사용하지 않도록 하여 한 계정이 크랙되고 다른 계정이 동시에 손상될 위험을 줄입니다.
4. 2단계 인증 활성화: 가능한 경우 모든 계정에 대해 2단계 인증(2FA)을 활성화하여 계정 보안을 강화합니다.
5. 자동화된 도구: 데이터 유출 위험을 줄이기 위해 자동화된 도구, 특히 클라우드나 제3자 서버에 정보를 저장할 수 있는 서비스의 사용을 줄입니다.
6. 접근 권한 제한: 신뢰할 수 있는 사람에게만 귀하의 지갑과 계정에 접근할 수 있는 권한을 부여하고 그들의 운영 권한을 제한하세요.
7. 지갑 보안 상태를 정기적으로 확인하십시오. 지갑 거래를 모니터링하는 도구를 사용하여 비정상적인 거래가 발생하지 않는지 확인하십시오. 지갑 개인 키가 유출된 것으로 확인되면 즉시 모든 지갑을 교체하십시오.
위에 나열된 차원 외에도 더 많은 차원이 있습니다. 어쨌든 사용자는 가능한 한 여러 차원을 통해 지갑과 자산의 보안을 보장해야 하며 단일 차원에만 의존하지 마십시오.
Q6: 실제로 털이 많은 사람들과 관련된 거래 미끄러짐, MEV 공격 등에 대한 보호 제안은 무엇입니까?
WTF Academy: 거래 미끄러짐과 MEV 공격을 이해하고 예방하는 것이 중요합니다. 이러한 위험은 거래 비용과 자산 보안에 직접적인 영향을 미칩니다.
MEV 공격을 예로 들면 일반적인 유형은 다음과 같습니다. 1) 선행 실행, 즉 채굴자 또는 거래 로봇은 사용자가 이익을 얻기 위해 거래하기 전에 동일한 거래를 실행합니다. 2) 샌드위치 공격, 채굴자가 사용자 거래 전후에 매수 및 매도 주문을 삽입하여 가격 변동으로부터 이익을 얻는 공격입니다. 3) 차익거래: 차익거래를 위해 블록체인의 다양한 시장의 가격 차이를 활용하세요.
사용자는 MEV 보호 도구를 통해 채굴자의 전용 채널에 거래를 제출함으로써 블록체인의 공개 방송을 피할 수 있습니다. 또는 거래 공개 시간을 줄입니다. 즉, 거래가 메모리 풀에 머무르는 시간을 줄이고, 더 높은 가스 요금을 사용하여 거래 확인 속도를 높이고, 대규모 거래를 위해 하나의 DEX 플랫폼에 집중하지 않도록 하여 공격을 받을 위험을 줄입니다.
OKX Web3 Wallet 보안팀: 거래 슬리피지는 예상 거래 가격과 실제 실행 가격의 차이를 의미하며, 이는 일반적으로 시장의 변동성이 크거나 유동성이 낮을 때 발생합니다. MEV 공격은 공격자가 정보 비대칭성과 거래 권한을 이용하여 초과 이익을 얻는 것을 말합니다. 다음은 이 두 가지 시나리오에 대한 몇 가지 일반적인 보호 조치입니다.
1. 미끄러짐 허용 오차 설정: 거래 업로드의 특정 지연 및 MEV 공격 가능성으로 인해 사용자는 시장 변동 또는 MEV 공격으로 인한 거래 실패 또는 실패를 방지하기 위해 거래 시 합리적인 미끄러짐 허용 오차를 미리 설정해야 합니다.
2. 일괄 거래: 일회성 대규모 거래를 지양하고 일괄 거래를 수행하면 시장 가격에 미치는 영향을 줄이고 미끄러짐 위험을 줄일 수 있습니다.
3. 유동성이 높은 거래 쌍을 사용하십시오. 거래 시 슬리피지 발생을 줄이기 위해 유동성이 충분한 거래 쌍을 선택하십시오.
4. 선점 방지 도구 사용: 중요한 거래에는 Memepool을 사용하지 마세요. 전문적인 선점 방지 도구를 사용하면 MEV 로봇에 의해 거래가 포착되지 않도록 보호할 수 있습니다.
Q7: 사용자는 모니터링 도구나 전문적인 방법을 사용하여 지갑 계정 이상을 정기적으로 모니터링하고 감지할 수 있습니까?
WTF 아카데미: 사용자는 다양한 모니터링 도구와 전문적인 방법을 사용하여 지갑 계정의 비정상적인 활동을 정기적으로 모니터링하고 감지할 수 있습니다. 이러한 방법은 계정 보안을 강화하고 무단 액세스 및 사기 가능성을 방지하는 데 도움이 됩니다. 효과적인 모니터링 및 탐지 방법은 다음과 같습니다.
1) 제3자 모니터링 서비스: 현재 많은 플랫폼은 사용자에게 지갑 활동에 대한 자세한 보고서와 실시간 경고를 제공할 수 있습니다.
2) 보안 플러그인 사용: 일부 보안 도구는 일부 피싱 웹사이트를 자동으로 차단할 수 있습니다.
3) 지갑 내장 기능: OKX Web3와 같은 지갑은 일부 피싱 웹사이트와 의심스러운 계약을 자동으로 감지 및 식별하고 사용자에게 경고를 제공할 수 있습니다.
OKX Web3 지갑 보안 팀: 현재 많은 회사나 조직에서 지갑 주소를 모니터링하고 감지하는 데 사용할 수 있는 다양한 도구를 제공하고 있습니다. 다음과 같은 업계 공개 정보를 기반으로 일부 도구를 편집했습니다.
1. 블록체인 모니터링 도구: 블록체인 분석 도구를 사용하여 지갑 주소의 비정상적인 거래, 자금 변경, 주소 거래 알림 설정 등을 모니터링합니다.
2. 보안 지갑: OKX Web3 지갑과 같은 전문 지갑을 사용하면 거래 사전 실행을 지원하고 의심스러운 거래를 적시에 탐지할 수 있습니다. 또한 악성 웹사이트 및 계약과의 상호 작용을 적시에 탐지하고 방지할 수 있습니다.
3. 알림 시스템: 문자 메시지, 이메일 또는 앱 알림을 포함하여 사용자가 설정한 조건에 따라 거래 또는 잔액 변경에 대한 알림을 보낼 수 있습니다.
4. OKLink 토큰 승인 쿼리: DApp에 대한 지갑의 승인을 확인하고 불필요한 승인을 적시에 취소하여 악의적인 계약에 의해 승인이 남용되는 것을 방지합니다.
Q8: 체인의 개인정보 보안을 어떻게 보호하나요?
WTF Academy: 블록체인의 개방적이고 투명한 특성은 많은 이점을 제공하지만 사용자의 거래 활동 및 자산 정보가 남용될 수 있다는 의미이기도 하며 온체인 개인정보 보호가 점점 더 중요해지고 있습니다. 그러나 사용자는 여러 주소를 생성하고 사용하여 자신의 신원을 보호할 수 있습니다. 과거에도 보안상 취약점이 많이 나타났기 때문에 지문인식 브라우저의 사용은 권장하지 않습니다.
OKX Web3 Wallet 보안 팀: 현재 점점 더 많은 사용자가 개인 정보 보호에 관심을 기울이기 시작했습니다. 일반적인 방법은 다음과 같습니다.
1. 다중 지갑 관리: 사용자 자산을 분산시키고 단일 지갑이 추적되거나 공격받을 위험을 줄입니다.
2. 다중 서명 지갑 사용: 거래를 실행하려면 다자간 서명이 필요하므로 보안과 개인정보 보호가 강화됩니다.
3. 콜드 지갑: 장기 자산을 하드웨어 지갑이나 오프라인 저장소에 보관하여 온라인 공격을 방지합니다.
4. 주소를 공개하지 마세요. 다른 사람이 지갑 주소를 추적하는 것을 방지하려면 소셜 미디어나 공개 플랫폼에서 지갑 주소를 공유하지 마세요.
5. 임시 이메일 사용 : 에어드랍 등 활동 시 개인정보가 노출되지 않도록 임시 이메일 주소를 사용하세요.
Q9: 지갑 계정이 도난당한 경우 사용자는 어떻게 대응해야 합니까? 도난당한 사용자가 자산을 복구하고 자산을 보호할 수 있도록 돕기 위한 노력이나 메커니즘이 마련되어 있습니까?
WTF Academy: 피싱 공격과 개인 키/니모닉 문구 유출에 대해 별도의 캠페인을 시작했습니다.
우선, 피싱 공격이 발생하면 사용자가 해커에게 권한을 부여한 자산이 해커의 지갑으로 이동하게 되는데, 이는 구출/복구가 거의 불가능하지만 사용자의 지갑에 남아 있는 자산은 비교적 안전합니다. RescuETH 팀은 사용자에게 다음 조치를 취할 것을 권장합니다.
1) 해커에 대한 자산 승인 철회
2) 도난당한 자산과 해커 주소를 추적하려면 보안업체에 문의하세요.
둘째, 개인키/니모닉 문구가 유출되면 사용자의 지갑에 있는 귀중한 자산이 모두 해커의 지갑으로 이동하게 되는데 이 부분은 구출/복구가 거의 불가능하지만, 현재 이동이 불가능한 사용자의 지갑에 있는 자산은 복구가 가능합니다. 잠금 해제된 약속 자산, 미발행 에어드랍 등이 우리의 주요 구조 목표이기도 합니다. RescuETH 팀은 사용자에게 다음 조치를 취할 것을 권장합니다.
1) 지갑에 해커가 전송하지 않은 자산이 있는지 가능한 한 빨리 확인하세요. 그렇다면 즉시 안전한 지갑으로 옮겨주세요. 때때로 해커는 인기 없는 체인의 자산을 놓칩니다.
2) 지갑에 약속된 자산이 잠금 해제되어 있고 에어드랍이 미발행된 경우 전문팀에 문의하여 구조를 요청할 수 있습니다.
3) 악성코드가 설치된 것으로 의심된다면, 최대한 빨리 컴퓨터를 소독하고 해당 악성코드를 삭제하시기 바랍니다. 필요한 경우 시스템을 다시 설치할 수 있습니다.
현재 우리는 도난당한 사용자 자산을 구출하기 위해 많은 시도를 해왔습니다.
첫째, 도난당한 지갑에서 대규모 자산을 구출한 최초의 팀이었습니다. 2023년 3월 Arbitrum의 에어드랍 이벤트에서 저는 $ARB 에어드랍을 놓고 해커들과 경쟁하기 위해 약 20명의 팬으로부터 40개 이상의 유출된 지갑의 개인 키를 수집했습니다. 결국 40,000달러 이상의 ARB 토큰을 구출하는데 성공했으며, 성공률은 80%였습니다.
둘째, 사용자의 지갑을 도난당하면 경제적 가치가 있는 자산이 해커에 의해 이동되고, 경제적 가치는 없지만 사용자에게 기념적 가치가 있는 NFT나 ENS가 지갑에 남게 됩니다. 그러나 지갑은 해커들에 의해 감시되기 때문에 전송된 Gas는 즉시 전송되며, 사용자는 자산 중 이 부분을 전송할 수 없습니다. 이에 대응하여 우리는 Flashbots 번들의 MEV 기술을 기반으로 하는 셀프 서비스 구조 애플리케이션인 RescuETH 앱을 만들었습니다. 이 앱은 가스 전송 및 NFT/ENS 전송 트랜잭션을 패키징하여 해커가 스크립트를 수신하는 것을 방지할 수 있습니다. 가스에서 이전하여 자산을 성공적으로 구출했습니다. RescuETH 앱은 현재 내부 테스트 중이며 6월에 공개 테스트를 시작할 예정입니다.
셋째, 사용자의 도난당한 지갑에 있는 자산 중 일부를 구출할 수 있는 자산(잠금 해제 담보 및 미발행 에어드롭)에 대해 유료 및 맞춤형 화이트햇 구출 서비스를 제공합니다. 현재 우리의 화이트햇 팀은 약 20명의 보안/MEV 전문가로 구성되어 있으며 ETH, 솔라나, 코스모스 및 기타 체인의 도난당한 지갑에서 300만 위안 이상의 자산을 구출했습니다.
OKX Web3 Wallet 보안팀: 사용자 조치와 OKX Web3 Wallet 보안 메커니즘이라는 두 가지 관점에서 확장합니다.
1. 이용자의 조치
사용자가 자신의 지갑이 도난당한 것을 발견하면 즉시 다음과 같은 조치를 취하는 것이 좋습니다.
1. 비상대응조치
1) 즉시 자금 이체: 지갑에 아직 자금이 남아 있는 경우 즉시 안전한 새 주소로 자금을 이체해야 합니다.
2) 승인 취소: 관리 도구를 통해 모든 승인을 즉시 취소하여 추가 손실을 방지합니다.
3) 자금 흐름 추적: 도난 자금 흐름을 적시에 추적하고 외부 도움을 구할 수 있도록 도난 과정에 대한 자세한 정보를 정리합니다.
2. 커뮤니티 및 프로젝트 지원
1) 프로젝트 당사자 및 커뮤니티에 도움 요청: 사건을 프로젝트 당사자 및 커뮤니티에 보고하고, 때로는 프로젝트 당사자가 도난당한 자산을 동결하거나 회수할 수 있습니다. 예를 들어 USDC에는 자금 이체를 차단하는 블랙리스트 메커니즘이 있습니다.
2) 블록체인 보안 기관 가입: 관련 블록체인 보안 기관이나 단체에 가입하여 집단적 힘을 활용하여 문제를 해결합니다.
3) 지갑 고객 서비스 지원팀에 문의: 전문적인 도움과 안내를 받으려면 즉시 지갑 고객 지원팀에 문의하세요.
2. OKX Web3 지갑 보안 메커니즘
OKX Web3 Wallet은 사용자 자산의 보안을 매우 중요하게 생각하며 사용자 자산 보호에 지속적으로 투자하고 사용자의 디지털 자산 보안을 보장하기 위한 다양한 보안 메커니즘을 제공합니다.
1) 블랙 주소 태그 라이브러리: OKX Web3 지갑은 사용자가 알려진 악성 주소와 상호 작용하는 것을 방지하기 위해 풍부한 블랙 주소 태그 라이브러리를 구축했습니다. 태그 라이브러리는 변화하는 보안 위협에 대응하고 사용자 자산의 보안을 보장하기 위해 지속적으로 업데이트됩니다.
2) 보안 플러그인: OKX Web3 지갑은 사용자가 잠재적으로 악의적인 링크와 거래 요청을 식별하고 차단할 수 있도록 내장된 피싱 방지 보호 기능을 제공하여 사용자 계정의 보안을 강화합니다.
3) 24시간 온라인 지원: OKX Web3 Wallet은 고객에게 24시간 온라인 지원을 제공하고 고객 자산 도난 및 사기 사건에 대한 신속한 후속 조치를 제공하며 사용자가 신속하게 도움과 안내를 받을 수 있도록 보장합니다.
4) 사용자 교육: OKX Web3 Wallet은 사용자가 보안 인식을 향상시키고 일반적인 보안 위험을 예방하고 자산을 보호하는 방법을 이해할 수 있도록 보안 팁과 교육 자료를 정기적으로 출시합니다.
Q1 0: AI를 활용해 보안을 강화할 수 있는지 등 최첨단 보안 기술을 공유해주실 수 있나요?
WTF 아카데미: 블록체인 및 Web3 분야의 보안은 지속적으로 발전하는 분야이며, 다양한 최첨단 보안 기술과 방법이 지속적으로 등장하고 있습니다. 현재 인기 있는 분야는 다음과 같습니다.
1) 스마트 계약 감사: AI와 기계 학습을 사용하여 스마트 계약의 보안 감사를 자동화하면 스마트 계약의 취약점과 잠재적 위험을 감지하여 기존 수동 감사보다 더 빠르고 포괄적인 분석을 제공할 수 있습니다.
2) 이상 행위 탐지: 머신러닝 알고리즘을 사용해 온체인 거래와 행위 패턴을 분석해 이상 활동과 잠재적인 보안 위협을 탐지합니다. AI는 일반적인 공격 패턴(MEV 공격, 피싱 공격 등)과 비정상적인 거래 행위를 식별하고 실시간 경고를 제공할 수 있습니다.
3) 사기 탐지: AI는 거래 내역과 사용자 행동을 분석하여 가능한 사기 활동을 식별하고 표시할 수 있습니다.
OKX Web3 지갑 보안 팀: 현재 AI는 Web3 분야에서 많은 실제 응용 프로그램을 보유하고 있습니다. 다음은 AI를 사용하여 Web3 보안 보호를 강화하는 몇 가지 시나리오입니다.
첫째, 이상 탐지 및 침입 탐지: AI 및 머신러닝 모델을 활용해 사용자 행동 패턴을 분석하고 비정상적인 활동을 탐지합니다. 예를 들어, 딥 러닝 모델을 사용하면 거래 행동과 지갑 활동을 분석하여 잠재적으로 악의적인 행동이나 변칙적인 활동을 식별할 수 있습니다.
둘째, 피싱 웹사이트 식별: AI는 웹페이지 내용과 링크 특성을 분석하여 피싱 웹사이트를 탐지 및 차단할 수 있어 피싱 공격 위협으로부터 사용자를 보호할 수 있습니다.
셋째, 악성 코드 탐지: AI는 파일의 동작과 특성을 분석하여 알려지지 않은 새로운 악성 코드를 탐지하여 사용자가 악성 프로그램을 다운로드하고 실행하는 것을 방지할 수 있습니다.
넷째, 자동화된 위협 대응: AI는 비정상적인 활동을 감지한 후 자동으로 계정을 동결하거나 기타 보호 작업을 수행하는 등 대응 조치를 자동화할 수 있습니다.
마지막으로 OKX Web3 Wallet '보안특집' 03호 칼럼을 읽어주신 모든 분들께 감사드립니다. 현재 실제 사례와 위험 식별, 안전한 운영 꿀팁을 담은 04호를 준비 중이니 많은 관심 부탁드립니다!
부인 성명
이 기사는 정보 제공의 목적으로만 작성되었으며 (i) 투자 조언 또는 투자 권장 사항 (ii) 디지털 자산 구매, 판매 또는 보유에 대한 제안 또는 권유, 또는 (iii) 금융, 회계, 법률 또는 세금 관련 조언을 제공하기 위한 것이 아닙니다. . 스테이블 코인 및 NFT를 포함한 디지털 자산을 보유하는 것은 높은 수준의 위험을 수반하며 크게 변동하거나 가치가 없게 될 수도 있습니다. 귀하의 재정 상황에 따라 디지털 자산을 거래하거나 보유하는 것이 귀하에게 적합한지 신중하게 고려해야 합니다. 관련 현지 법률 및 규정을 이해하고 준수할 책임이 있습니다.
