OKX Web3: 다음 번에는 해커가 집을 훔쳐가나요?

소개

OKX Web3 월렛은 다양한 유형의 온체인 보안 질문에 답하는 "보안 특집" 칼럼을 특별히 기획했습니다. 사용자 주변에서 발생하는 가장 실제적인 사례와 보안 전문가 또는 기관이 공동으로 다양한 관점에서 공유하고 답변함으로써 얕은 것부터 깊은 것까지 안전한 거래의 규칙을 정리하고 요약하여 사용자 보안 교육을 강화하고 사용자 스스로 개인 키와 지갑 자산을 보호하는 방법을 배울 수 있도록 돕고자 합니다.

호랑이처럼 사납고 안전 계수는 마이너스 5?

체인과 상호 작용하는 빈도가 높은 사용자로서, 안전은 항상 안전의 최우선 순위

오늘, 두 체인 "구덩이 피하기 왕"이 안전 보호 전략을 수행하는 방법을 알려줍니다

이번 호는 보안 특별 호의 03 번째 호입니다. 이번 호는 보안 특집 03호로, 업계에서 유명한 보안 전문가 0xAA와 OKX Web3 지갑 보안팀을 초청하여 일반적인 보안 위험과 '먹튀'의 예방책을 실무 가이드의 관점에서 설명했습니다.

WTF 아카데미: OKX Web3에 초대해주셔서 감사합니다, 저는 WTF 아카데미의 0xAA입니다. 아카데미는 개발자들이 웹3 개발을 시작할 수 있도록 돕는 웹3 오픈소스 대학입니다. 올해 우리는 사용자의 도난당한 지갑에 남아있는 자산을 구출하는 데 초점을 맞춘 웹3 구조 프로젝트 RescuETH(Rescue Team on Chain)를 인큐베이팅하여 이더리움, 솔라나, 코스모스에서 300만 위안 이상의 도난 자산을 성공적으로 구출했습니다.

OKX Web3지갑 보안팀: 안녕하세요, 여러분, 이번에 여러분과 공유하게 되어 매우 기쁩니다. OKX Web3 지갑 보안팀은 주로 지갑 보안 기능 구축, 스마트 계약 보안 감사, 온체인 프로젝트 보안 모니터링 등 OKX Web3 분야에서 모든 종류의 보안 기능 구축을 담당하고 있습니다. 또한 온체인 프로젝트의 보안 모니터링을 담당하여 사용자에게 제품 보안, 자본 보안, 거래 보안 등 다양한 보호 서비스를 제공하고 전체 블록체인 보안 생태계를 유지하는 데 기여하고 있습니다.

Q1: 실제 저크가 직면한 몇 가지 위험 사례를 공유해주세요

WTF 아카데미: 개인 키 유출은 중요한 보안 위험 중 하나입니다. 위험 중 하나입니다. 기본적으로 개인 키는 암호화폐 자산을 제어하는 데 사용되는 문자열이며, 개인 키를 가진 사람은 해당 암호화폐 자산을 완전히 제어할 수 있습니다. 개인키가 유출되면 공격자는 사용자의 자산에 무단으로 액세스하여 전송 및 관리할 수 있으며, 이는 사용자에게 금전적 손실로 이어질 수 있습니다. 따라서 개인키가 도난당한 몇 가지 사례를 중점적으로 공유하겠습니다.

Alice(가명)는 소셜 미디어에서 해커의 유혹을 받아 멀웨어를 다운로드했고, 멀웨어 실행 후 개인 키를 탈취당했습니다. 현재 채굴 스크립트, 게임, 회의 소프트웨어, 더트독 스크립트, 클립 봇 등 다양한 형태의 멀웨어가 존재하므로 사용자는 보안에 더욱 주의를 기울여야 합니다.

Bob(가명)은 다른 사람이 액세스한 후 실수로 자신의 개인 키를 GitHub에 업로드하여 자산이 도난당하는 사고를 당했습니다.

칼(가명)은 프로젝트의 공식 Tegegram 그룹에서 질문을 했을 때 연락이 온 가짜 고객 서비스를 믿고 도우미 단어를 유출하여 지갑 자산을 도난당했습니다.

OKX Web3지갑 보안팀: 이런 유형의 위험 사례는 더 많지만, 사용자들이 겪은 대표적인 사례 몇 가지를 골라보았습니다.

첫 번째 유형은 가짜 에어드랍을 게시하는 가짜 계정입니다. 첫 번째는 사용자가 피셔가 아니라 피셔인 사용자가 피셔이고, 피셔인 사용자가 피셔인 경우입니다. 현재 많은 피셔가 공식 계정을 모방하고 공식 트윗 아래 가짜 공지를 추적하여 사용자를 미끼로 유인하고 있으며, 사용자는이를 식별하고 가볍게 받아들이지 않도록주의해야합니다.

두 번째 유형은 공식 계정을 탈취하는 경우입니다. 한 프로젝트의 공식 트위터와 디스코드 계정이 해킹당한 후 해커가 프로젝트의 공식 계정에 가짜 에어드랍 활동 링크를 공개했습니다. 공식 채널에서 공개된 링크였기 때문에 사용자 B는 진위를 의심하지 않고 링크를 클릭해 에어드랍에 참여했다가 피싱을 당했습니다.

세 번째 유형은 악의적인 프로젝트 당사자를 만난 경우입니다. 사용자 C는 프로젝트의 채굴 활동에 참여하면서 더 높은 보상을 받기 위해 프로젝트의 스테이킹 계약에 자신의 모든 USDT 자산을 투자했습니다. 그러나 스마트 컨트랙트는 엄격한 감사를 거치지 않았고 오픈 소스도 아니었기 때문에 프로젝트 측은 컨트랙트에 예약된 백도어를 통해 사용자 C가 예치한 모든 자산을 훔쳐갔습니다.

수십, 수백 개의 지갑을 보유한 사용자들에게 지갑과 자산을 보호하는 방법은 매우 중요한 주제이며, 항상 경각심을 갖고 보안 주의사항을 숙지해야 합니다. 털남에게, 그리고 실제로 모든 웹3.0 사용자에게 가장 흔한 두 가지 유형의 보안 위험은 피싱 공격과 개인 키 유출입니다.

첫 번째 유형은 피싱 공격으로, 해커는 일반적으로 공식 웹사이트나 앱을 위조하여 소셜 미디어와 검색 엔진에서 사용자가 클릭하도록 유인한 다음, 사용자가 피싱 사이트에서 거래하거나 서명하도록 유도하여 토큰 인증을 획득하고 사용자의 자산을 훔칩니다.

주의 사항: 첫째, 사용자는 공식 채널(예: 공식 트위터 프로필의 링크)을 통해서만 공식 웹사이트 및 앱에 액세스하는 것이 좋습니다. 둘째, 사용자는 보안 플러그인을 사용하여 일부 피싱 웹사이트를 자동으로 차단할 수 있습니다. 셋째, 사용자가 의심스러운 웹사이트에 들어가면 보안 전문가의 도움을 받아 피싱 사이트인지 여부를 판단할 수 있습니다.

두 번째 범주는 개인 키 유출로, 이전 질문에서 이미 소개했으므로 여기서는 더 이상 설명하지 않겠습니다.

주의 사항: 첫째, 사용자가 컴퓨터나 휴대폰에 지갑을 가지고 있다면 비공식 채널에서 의심스러운 소프트웨어를 다운로드하지 않아야 합니다. 둘째, 공식 고객 서비스에서는 일반적으로 비공개 메시지를 시작하지 않으며, 가짜 웹사이트에 개인 키와 니모닉을 보내거나 입력하도록 요청하지 않는다는 사실을 알아야 합니다. 셋째, 개인키가 필요한 오픈소스 프로젝트가 있는 경우, 개인키가 깃허브에 업로드되지 않도록 .gitignore 파일을 구성하시기 바랍니다.

OKX Web3지갑 보안팀: 체인에서 사용자 상호작용에서 흔히 발생하는 5가지 유형의 보안 위험을 요약했습니다. 위험과 각 위험 유형에 대한 몇 가지 보호 조치를 나열했습니다.

1. 에어드랍 사기

위험 프로필: 일부 사용자는 종종 지갑 주소에 알 수 없는 많은 수의 토큰을 가지고 있으며, 이러한 토큰은 일반적으로 일반적으로 사용되는 DEX 거래에서 실패하고 페이지에서 사용자에게 공식 웹사이트로 이동하여 상환하도록 유도한 다음 거래 승인에서 사용자가 계정 자산을 이전하는 스마트 계약을 승인하여 궁극적으로 자산 도난으로 이어지는 경우가 많습니다. 예를 들어, 자프 에어드랍 사기로 인해 많은 사용자가 갑자기 수십만 달러에 달하는 자프 코인을 지갑에 대량으로 수령했습니다. 이로 인해 많은 사람들이 예상치 못한 큰돈을 벌었다고 착각했습니다. 하지만 이는 사실 정교한 함정이었습니다. 이 토큰은 일반 플랫폼에서 사용할 수 없기 때문에 현금화를 원하는 많은 사용자가 토큰 이름에 따라 소위 '공식 웹사이트'를 찾게 됩니다. 지침에 따라 지갑에 연결하면 해당 토큰을 판매할 수 있다고 생각하지만, 일단 승인되면 지갑의 모든 자산이 즉시 도난당하게 됩니다.

보호: 에어드랍 사기를 피하려면 사용자가 경각심을 갖고 정보의 출처를 확인해야 하며, 항상 공식 채널(예: 프로젝트의 공식 웹사이트, 공식 소셜 미디어 계정, 공식 공지사항)에서 에어드랍 정보를 얻어야 합니다. 개인 키와 도우미를 보호하고, 수수료를 지불하지 않으며, 커뮤니티와 도구를 사용하여 잠재적인 사기를 확인하고 식별하세요.

2. 악성 스마트 컨트랙트

위험 프로필: 감사를 받지 않았거나 오픈 소스가 아닌 많은 스마트 컨트랙트에는 사용자 자금의 안전을 보장하지 않는 취약점이나 백도어가 포함되어 있을 수 있습니다.

보호 조치: 사용자는 적절한 감사 회사의 엄격한 감사를 받은 스마트 컨트랙트만 거래하거나 프로젝트의 보안 감사 보고서를 확인하는 데 주의를 기울여야 합니다. 또한 버그 바운티가 있는 프로젝트는 일반적으로 더 안전합니다.

3. 권한 관리:

위험 프로필: 상호작용하는 컨트랙트에 대한 과도한 권한 부여는 자금 도난으로 이어질 수 있으며, 몇 가지 예를 들면 다음과 같습니다. 1) 컨트랙트는 업그레이드 가능한 컨트랙트이므로 권한이 있는 계정 개인 키가 유출되면 공격자가 이를 사용하여 컨트랙트를 악성 버전으로 업그레이드하여 권한 있는 사용자의 자산을 훔칠 수 있습니다. 2) 아직 확인되지 않은 허점이 있는 경우 과도한 권한 부여로 인해 공격자가 향후 이를 악용할 수 있으며 컨트랙트가 보안 도구로 사용되지 못할 수 있습니다. 권한 부여는 공격자가 향후 이러한 취약점을 악용하여 자금을 훔칠 수 있도록 허용할 수 있습니다.

보호: 원칙적으로 상호 작용하는 컨트랙트에는 필요한 만큼의 권한만 부여해야 하며, 불필요한 권한은 정기적으로 점검하고 취소해야 합니다. 오프체인 허가 승인을 체결할 때는 승인 대상 계약/자산 유형/승인 금액을 명확히 파악하여 행동하기 전에 다시 한 번 생각하는 것이 중요합니다.

4. 피싱 승인

위험 프로필: 악성 링크를 클릭하고 악성 컨트랙트나 사용자를 승인하도록 유인

보호 조치: 1) 맹목적인 서명 피하기: 거래에 서명하기 전에 서명하려는 거래의 내용을 이해하고 각 단계가 명확하고 필요한지 확인해야 합니다. 2) 승인 대상에 주의하기: 승인 대상이 EOA 주소(외부 소유 계정)인 경우, 승인은 EOA에 제공되어야 합니다. 외부 소유 계정) 또는 확인되지 않은 계약은 주의해야 합니다. 확인되지 않은 계약에는 악성 코드가 포함되어 있을 수 있습니다.3) 피싱 방지 플러그인 지갑 사용: OKX Web3 지갑 등과 같이 피싱 방지 기능이 있는 플러그인 지갑을 사용하세요. 이러한 지갑은 악성 링크를 식별하고 차단하는 데 도움이 됩니다.4) 니모닉 및 개인 키 보호: 니모닉 또는 개인 키를 요구하는 모든 웹사이트는 피싱 링크이므로 웹사이트나 애플리케이션에 이 민감한 정보를 입력하지 마세요.

5. 악성 저크 스크립트

위험 프로필: 악성 저크 스크립트를 실행하면 컴퓨터에 트로이 목마가 심어져 개인 키가 도난당할 수 있습니다.

보호: 알 수 없는 스크립트나 소프트웨어를 실행할 때는 주의하세요.

전체적으로, 저희는 사용자가 체인에서 상호작용할 때 주의를 기울여 지갑과 자산을 보호할 수 있기를 바랍니다.

Q3: 대표적인 피싱 유형은 무엇이며 이를 식별하고 피하는 방법은 무엇인가요?

WTF Academy: 다른 관점에서 이 질문에 다시 답하고 싶습니다. 즉, 사용자가 자신의 자산이 도난당한 것을 발견하면 피싱 공격인지 개인 키 유출인지 어떻게 식별할 수 있을까요? 일반적으로 다음 두 가지 유형의 공격의 특징을 통해 식별할 수 있습니다.

I. 피싱 공격의 특징: 해커는 일반적으로 피싱 웹사이트를 통해 사용자의 단일 지갑에 있는 단일 또는 여러 자산에 대한 권한을 획득하여 자산을 탈취합니다. 일반적으로 도난당한 자산의 유형은 사용자가 피싱 사이트를 승인한 횟수와 동일합니다.

II. 개인키/헬퍼워드 유출의 특징: 해커는 사용자의 단일 또는 여러 지갑에 있는 모든 체인의 모든 자산을 완전히 제어할 수 있습니다. 따라서 다음 특징 중 하나 이상이 발생하면 개인키 유출로 판단됩니다.

1) 프라이머리 토큰을 도난당한 경우(예: 이더리움 체인의 이더리움), 프라이머리 토큰은 승인할 수 없기 때문에 개인키가 유출될 확률이 높습니다.

2) 멀티체인 자산이 도난당했습니다.

3) 다중 지갑 자산이 도난당한 경우.

4) 하나의 지갑에서 여러 자산을 도난당했지만 승인되지 않았다는 명확한 기억이 있는 경우.

5) 토큰 도난 전 또는 동일한 거래(승인 이벤트)에서 승인이 없었던 경우.

6) 전송된 가스가 해커에 의해 즉시 전송된 경우.

위와 같은 특징이 충족되지 않으면 피싱 공격일 가능성이 높습니다.

1) 어떤 웹페이지에서도 헬퍼/비밀키를 입력하지 않도록 주의하고, 2)

방문하는 링크가 공식 링크인지 확인하고, 지갑 인터페이스의 확인 버튼을 클릭할 때 주의하는 두 가지 사항에 주의해야 합니다.

다음으로는 사용자가 보다 직관적으로 이해할 수 있도록 몇 가지 전형적인 피싱 시나리오를 공유합니다.

1. 가짜 웹사이트 피싱: 공식 디앱 웹사이트를 모방하여 사용자가 개인 키 또는 니모닉을 입력하도록 유도합니다. 따라서 사용자의 첫 번째 원칙은 누구에게도, 어떤 웹사이트에도 지갑 개인키나 니모닉 단어를 제공하지 않는 것입니다. 둘째, URL이 올바른지 확인하고, 공식 북마크를 사용하여 일반적으로 사용되는 디앱에 액세스하고, OKX Web3 지갑과 같은 일반 주류 지갑을 사용하면 피싱 웹사이트가 감지될 때 경고가 표시됩니다.

2. 메인체인 토큰 탈취: 클레임, 보안 업데이트, 에어드랍 등의 악성 컨트랙트 함수는 매력적인 이름을 가지고 있지만 실제 함수 로직은 비어 있으며 사용자의 메인체인 토큰만 전송합니다.

3. 유사한 주소 전송: 사기범은 주소 충돌을 사용하여 사용자의 특정 연관 주소의 앞자리와 뒷자리와 동일한 주소를 생성한 후 transferFrom을 사용하여 0금액을 이체하여 도싱을 하거나 가짜 USDT를 사용하여 다음과 같이 합니다. 일정 금액의 송금 및 기타 수단, 사용자의 거래 내역 오염, 사용자는 거래 내역에서 잘못된 주소를 복사하기 위해 후속 송금을 할 것으로 예상됩니다.

4, 가짜 고객 서비스: 해커는 고객 서비스를 가장하여 소셜 미디어나 이메일을 통해 사용자에게 연락하여 개인 키 또는 니모닉을 요청합니다. 공식 고객 서비스는 개인 키를 요구하지 않으며 이러한 요청을 무시합니다.

4분기: 전문 사기꾼, 다양한 유형의 도구 사용으로 보안 문제에 주의를 기울여야 함

WTF 아카데미: 사기꾼으로 인해 사용자는 다음과 같이 주의해야 합니다.

1. 지갑 보안: 개인키 또는 니모닉이 손상되지 않았는지 확인하고, 보안이 취약한 위치에 개인키를 저장하지 않으며, 알 수 없거나 신뢰할 수 없는 웹사이트에 개인키를 입력하지 마세요. 사용자는 오프라인 저장 장치나 암호화된 클라우드 저장소와 같은 안전한 장소에 개인키 또는 니모닉의 백업을 저장해야 합니다. 또한 고가의 자산을 보유한 지갑 사용자의 경우 다중 서명 지갑을 사용하면 보안을 강화할 수 있습니다.

2. 피싱 공격 방지: 사용자가 관련 웹사이트를 방문할 때는 반드시 URL을 다시 확인하고 출처가 불분명한 링크는 클릭하지 마세요. 프로젝트의 공식 웹사이트나 공식 소셜 미디어에서 다운로드 링크와 정보를 얻고 타사 소스를 사용하지 마세요.

3. 소프트웨어 보안: 사용자는 악성코드 및 바이러스 공격을 방지하기 위해 기기에 바이러스 백신 소프트웨어를 설치하고 업데이트해야 합니다. 지갑과 기타 블록체인 관련 도구도 정기적으로 업데이트하여 최신 보안 패치가 사용되도록 해야 합니다. 지문 브라우저와 원격 데스크톱은 보안 취약점이 있는 경우가 많으므로 사용하지 않는 것이 좋습니다.

이러한 조치를 취함으로써 사용자는 다양한 도구를 사용할 때 보안 위험을 더욱 줄일 수 있습니다.

OKX Web3지갑 보안팀: 공개적으로 이용 가능한 업계 사례부터 시작하겠습니다.

예를 들어, 다중 계정 로그인, 창 연결 방지, 독립적인 컴퓨터 정보 시뮬레이션 등의 기능을 제공하는 BitFingerprint 브라우저는 일부 사용자들이 선호했지만 2023년 8월 일련의 보안 사고로 인해 잠재적인 위험성이 노출되었습니다. 특히 BitTorrent의 "플러그인 데이터 동기화" 기능은 사용자가 플러그인 데이터를 클라우드 서버에 업로드하고 새 기기에서 비밀번호를 입력해 빠르게 마이그레이션할 수 있는 기능입니다. 이 기능은 원래 사용자 편의를 위해 설계되었지만 보안 위험도 있습니다. 해커는 서버를 해킹하여 사용자의 지갑 데이터에 액세스할 수 있습니다. 해커는 무차별 암호 대입을 통해 데이터에서 사용자의 지갑 비밀번호를 해독하고 지갑에 액세스했습니다. 서버 로그에 따르면 확장 캐시를 저장하는 서버는 8월 초에 불법적으로 다운로드되었습니다(로그 기록은 8월 2일로 늦어짐). 이 사건은 우리가 편리함을 누리는 만큼 잠재적인 보안 위험도 경계해야 한다는 사실을 일깨워줍니다.

따라서 사용자는 해킹과 데이터 유출의 위험을 피하기 위해 자신이 사용하는 도구가 안전한지 확인하는 것이 중요합니다. 일반적으로 사용자는 특정 보안을 개선하기 위해 다음과 같은 차원을 살펴볼 수 있습니다.

I. 하드웨어 지갑 사용: 1) 정기적으로 펌웨어를 업데이트하고 공식 채널을 통해 구매합니다. 2) 안전한 컴퓨터에서 사용하고 공공장소에서는 연결하지 않습니다.

II. 브라우저 플러그인 사용:) 타사 플러그인 및 도구는 주의하여 사용하고, OKX Web3 Wallet 등과 같은 평판이 좋은 제품을 선택합니다. 2) 신뢰할 수 없는 웹사이트의 지갑 플러그인 사용은 피합니다.

셋째, 거래 및 분석 도구 사용: 1) 거래 및 계약 상호 작용에 신뢰할 수 있는 플랫폼을 사용합니다. 2) 오용을 방지하기 위해 계약 주소와 호출 방법을 주의 깊게 확인합니다.

넷째, 컴퓨터 장비 사용: 1) 컴퓨터 장비 시스템을 정기적으로 업데이트하고, 소프트웨어를 업데이트하고, 보안 허점을 수리합니다. 2) 보안 바이러스 백신 소프트웨어, 컴퓨터 시스템 바이러스를 정기적으로 검사하고 제거합니다.

Q5: 어떻게 하면 여러 지갑과 계정을 하나의 지갑보다 더 안전하게 관리할 수 있나요?

WTF 아카데미: 저크들은 온체인에서 더 자주 상호작용하고 여러 지갑과 계정을 동시에 관리하기 때문에 자산 보안에 특별한 주의를 기울여야 합니다.

하나, 하드웨어 지갑 사용: 하드웨어 지갑은 사용자가 동일한 기기에서 여러 지갑 계정을 관리할 수 있으며, 각 계정의 개인 키가 하드웨어 기기에 저장되어 상대적으로 더 안전합니다.

둘, 보안 전략의 분리 및 운영 환경의 분리: 우선, 보안 전략의 분리, 사용자는 지갑의 다른 목적을 분리하여 위험 분산 목적을 달성할 수 있습니다. 예를 들어, 에어드랍 지갑, 거래 지갑, 보관 지갑 등이 있습니다. 예를 들어 핫월렛은 일일 거래 및 저킹 작업에 사용하고, 콜드월렛은 중요한 자산의 장기 보관에 사용함으로써 하나의 지갑이 손상되더라도 다른 지갑에는 영향을 미치지 않도록 합니다.

둘째, 운영 환경의 분리는 사용자가 휴대폰, 태블릿, 컴퓨터 등 다양한 기기를 사용해 서로 다른 지갑을 관리할 수 있어 한 기기의 보안 문제가 모든 지갑에 영향을 미치지 않도록 하는 것입니다.

셋째, 비밀번호 관리: 사용자는 동일하거나 유사한 비밀번호를 사용하지 않도록 각 지갑 계정마다 강력한 비밀번호를 설정해야 합니다. 또는 비밀번호 관리자를 사용해 각 계정의 비밀번호를 관리하여 각 비밀번호가 독립적이고 안전한지 확인합니다.

예를 들어, 여러 지갑과 계정을 더 안전하게 관리하기는 쉽지 않은데, 다음과 같은 방법으로 지갑 보안을 강화할 수 있습니다.

1. 위험 분산:

Q6: 저크와 실질적으로 관련된 거래 슬리피지, MEV 공격 등에 대한 보호를 위해 어떤 제안이 있나요?

WTF 아카데미: 슬리피지와 MEV 공격은 거래 비용과 자산의 안전에 직접적인 영향을 미치기 때문에 이러한 위험을 이해하고 방지하는 것이 중요합니다.

메가 가치 공격의 일반적인 유형은 1) 사용자가 거래하기 전에 채굴자나 트레이딩 봇이 동일한 거래를 선제적으로 실행하여 수익을 창출하는 러쉬, 2) 채굴자가 사용자의 거래 전후에 각각 매수 및 매도 주문을 삽입하여 가격 변동을 통해 이익을 취하는 샌드위치 공격, 3) 블록체인 내 여러 시장의 가격 차이를 이용하는 차익거래 등이 있습니다.

사용자는 MEV 보호 도구를 통해 채굴자를 위한 전용 채널에 트랜잭션을 제출하여 블록체인에서 공개적으로 방송되는 것을 피할 수 있습니다. 또는 트랜잭션이 메모리 풀에 머무는 시간을 줄이고 가스 수수료를 높여 트랜잭션 확인 속도를 높이며 단일 DEX 플랫폼에서 대규모 거래를 중앙 집중화하지 않는 등의 방법으로 거래가 공개되는 시간을 줄여 공격의 위험을 줄일 수 있습니다.

OKX Web3지갑 보안팀: 거래 슬리피지는 예상 거래 가격과 실제 체결 가격의 차이로, 일반적으로 시장의 변동성이 크거나 유동성이 적을 때 발생합니다.MEV 공격은 공격자가 정보 비대칭성과 거래 권한을 이용해 초과 수익을 얻는 것을 말합니다. 다음은 이 두 가지 시나리오에 대한 몇 가지 일반적인 보호 조치입니다.

1. 슬리피지 허용 오차 설정: 거래 업링크에 일정한 지연이 존재하고 MEV 공격 등이 존재할 수 있으므로 사용자는 시장 변동성이나 MEV 공격으로 인한 거래 실패 또는 자금 손실을 피하기 위해 거래 중에 미리 합리적인 슬리피지 허용 오차를 설정해야 합니다.

2, 일괄 거래: 일회성 대량 거래, 일괄 거래를 피하고 시장 가격에 미치는 영향을 줄이고 미끄러짐 위험을 줄일 수 있습니다.

3, 높은 유동성 거래 쌍의 사용 : 거래 수행에서 미끄러짐의 발생을 줄이기 위해 충분한 유동성 거래 쌍을 선택합니다.

4, 그랩 앤 런 방지 도구의 사용: 중요한 거래는 멤풀로 이동하지 않으려는 경우, 전문 그랩 앤 런 방지 도구를 통해 거래가 MEV 로봇에 의해 캡처되지 않도록 보호할 수 있습니다.

Q7: 사용자가 모니터링 도구나 전문적인 방법을 사용하여 지갑 계정의 이상 징후를 정기적으로 모니터링하고 감지할 수 있나요?

WTF 아카데미: 사용자는 다양한 모니터링 도구와 전문화된 방법을 사용하여 지갑 계정의 비정상적인 활동을 정기적으로 모니터링하고 감지할 수 있습니다. 이러한 방법은 계정 보안을 개선하고 무단 액세스 및 잠재적 사기를 방지하는 데 도움이 됩니다. 다음은 몇 가지 효과적인 모니터링 및 탐지 방법입니다.

1) 타사 모니터링 서비스: 현재 많은 플랫폼에서 사용자에게 지갑 활동에 대한 자세한 보고서와 실시간 알림을 제공합니다.

2) 보안 플러그인 사용: 일부 보안 도구는 일부 피싱 사이트를 자동으로 차단할 수 있습니다.

3) 지갑 기능 내장: OKX Web3와 같은 지갑은 일부 피싱 사이트와 의심스러운 계약을 자동으로 감지 및 식별하고 사용자에게 경고를 제공할 수 있습니다.

현재 많은 회사나 조직에서 지갑 주소를 모니터링하고 탐지하는 데 사용할 수 있는 많은 도구를 제공하고 있으며, 업계에서 공개된 정보를 바탕으로 다음과 같이 몇 가지를 정리했습니다.

1. 블록체인 모니터링 도구: 블록체인 분석 도구 사용 를 사용하여 지갑 주소의 비정상적인 거래, 자금 변경, 주소 거래 알림 설정 등을 모니터링합니다.

2, 보안 지갑 : OKX Web3 지갑 및 기타 전문 지갑과 같은 사용은 거래 사전 실행, 의심스러운 거래의 적시 탐지를 지원할 수 있으며 악성 웹 사이트 및 계약과의 적시 탐지 및 차단이 될 수도 있습니다.

3. 알림 시스템: 사용자가 설정한 조건에 따라 거래 또는 잔액 변경에 대한 알림을 SMS, 이메일 또는 앱 알림 등 다양한 방식으로 전송할 수 있습니다.

4. OKLink 토큰 승인 쿼리: 지갑별로 디앱의 승인을 확인하고 원치 않는 승인을 적시에 취소하여 악의적인 컨트랙트에 의해 승인이 남용되는 것을 방지합니다.

Q8: 온체인 프라이버시는 어떻게 보호하나요?  

WTF 아카데미: 블록체인의 개방적이고 투명한 특성은 많은 이점을 제공하지만, 사용자의 거래 활동과 자산 정보가 악용될 수 있어 온체인 개인정보 보호의 중요성이 점점 더 커지고 있습니다. 그러나 사용자는 여러 개의 주소를 생성하고 사용함으로써 개인 신원을 보호할 수 있습니다. 지문 브라우저는 이전에 많은 보안 침해가 있었기 때문에 권장하지 않습니다.

1, 다중 지갑 관리: 사용자 자산을 분산하여 단일 지갑이 추적되거나 공격받을 위험을 줄임으로써

1, 다중 지갑 관리: 사용자 자산을 분산하여 단일 지갑이 추적되거나 공격받을 위험을 줄임으로써

2, 다중 지갑 관리: 사용자 자산을 분산하여

3.

2, 다중 서명 지갑 사용: 거래를 실행하기 위해 여러 서명이 필요하고 보안 및 개인 정보 보호가 강화됩니다.

3. 콜드월렛: 온라인 공격을 방지하기 위해 장기 보관 자산을 하드웨어 지갑이나 오프라인 스토리지에 저장합니다.

4. 주소를 공개하지 않기: 다른 사람이 지갑 주소를 추적하지 못하도록 소셜 미디어나 공개 플랫폼에서 지갑 주소를 공유하지 마세요.

5. 임시 이메일 사용: 에어드랍이나 기타 이벤트에 참여할 때는 임시 이메일 주소를 사용해 개인 정보가 노출되지 않도록 보호하세요.

Q9: 지갑 계정 도난이 발생한 경우 사용자는 어떻게 해야 하나요? 도난당한 사용자가 자산을 복구하고 보호하기 위한 노력이나 메커니즘이 있나요?

WTF 아카데미: 피싱 공격과 개인키/헬퍼워드 유출에 대해서는 별도로 대응하고 있습니다.

우선 피싱 공격이 발생하면 사용자가 해커에게 승인한 자산은 해커의 지갑으로 전송되어 구조/복구가 거의 불가능하지만, 사용자의 지갑에 남아있는 자산은 비교적 안전하며, RescuETH 팀은 사용자에게 다음 단계를 수행하도록 권고합니다 :

1) 해커에게 주어진 자산의 승인 철회

2) 보안 회사에 연락하여 탈취된 자산과 해커의 주소 추적할 해커의 주소를 요청합니다.

두 번째로, 개인키/헬프워드 유출이 발생하면 사용자 지갑에 있는 모든 귀중한 자산이 해커의 지갑으로 이전되어 구조/복구가 거의 불가능하지만, 현재 이전이 불가능한 사용자 지갑의 자산 중 잠금 해제된 담보 자산, 미분배 에어드랍 등 구조가 가능한 자산은 구조가 가능하며, RescuETH 팀은 사용자에게 다음과 같은 조치를 취하도록 제안합니다.

1) 먼저 지갑에 해커가 전송하지 않은 자산이 있는지 확인하고, 있다면 즉시 안전한 지갑으로 전송하세요. 해커가 콜드 체인에 있는 일부 자산을 놓치는 경우가 있습니다.

2) 지갑에 잠금 해제된 자산과 분배되지 않은 에어드롭이 있다면 전문 팀에 연락하여 구조를 요청할 수 있습니다.

3) 멀웨어가 설치되었다고 의심되는 경우, 가능한 한 빨리 컴퓨터 백신을 실행하고 멀웨어를 제거하세요. 필요한 경우 시스템을 다시 설치하세요.

현재 저희는 도난당한 사용자의 자산을 구출하기 위해 여러 가지 시도를 해왔습니다.

첫째, 저희는 도난당한 지갑에서 자산을 대규모로 구출한 최초의 팀입니다. 2023년 3월 Arbitrum의 에어드랍 이벤트 기간 동안 약 20명의 팬으로부터 40개 이상의 유출된 지갑의 개인 키를 수집하여 해커를 상대로 $ARB 에어드랍을 진행했습니다. 결국 80%의 성공률로 4만 달러 이상의 ARB 토큰을 구할 수 있었습니다.

둘째, 사용자의 지갑이 도난당하면 경제적 가치가 있는 자산은 해커에 의해 전송되지만, 경제적 가치는 없지만 사용자에게 기념할 만한 가치가 있는 NFT나 ENS는 지갑에 남아 있습니다. 그러나 해커가 지갑을 모니터링하고 있기 때문에 전송된 가스는 즉시 전송되며, 사용자는 해당 자산을 전송할 수 없습니다. 이를 해결하기 위해 저희는 플래시봇 번들의 MEV 기술을 기반으로 하는 셀프 서비스 구조 애플리케이션인 RescuETH 앱을 만들었으며, 가스 입출금과 NFT/ENS 전송을 패키지화하여 해커가 가스 전송 스크립트를 듣지 못하도록 하여 자산을 성공적으로 구조할 수 있도록 했습니다. RescuETH 앱은 현재 내부 테스트 중이며 6월에 공개 테스트가 시작될 예정입니다.

셋째, 사용자의 도난 지갑에서 구출할 수 있는 일부 자산(잠금 해제된 서약과 미분배 에어드랍)에 대해서는 유료 맞춤형 화이트햇 구출 서비스를 제공합니다. 현재 저희 화이트햇 팀은 약 20명의 보안/MEV 전문가로 구성되어 있으며, 이더리움, 솔라나, 코스모스와 같은 체인에서 도난당한 지갑에서 3백만 위안 이상의 자산을 구출했습니다.

OKX Web3지갑 보안팀: 저희는 2가지 관점에서 확장하고 있습니다: 사용자 대책과 OKX Web3 지갑 보안 메커니즘

하나. 조치

사용자는 지갑 도난을 인지한 즉시 긴급하게 다음과 같은 조치를 취하는 것이 좋습니다.

1. 긴급 대응 조치

1) 즉시 자금 이체: 지갑에 자금이 남아 있는 경우 즉시 안전한 새 주소로 이체해야 합니다.

2) 승인 취소: 추가 손실을 방지하기 위해 관리 도구를 통해 모든 승인을 즉시 취소합니다.

3) 자금 흐름 추적: 도난당한 자금의 흐름을 적시에 추적하고 도난 과정에 대한 자세한 정보를 수집하여 외부 도움을 요청할 수 있도록 합니다.

2. 커뮤니티 및 프로젝트 지원

1) 프로젝트 및 커뮤니티 도움 요청: 프로젝트와 커뮤니티에 사건을 보고하면 프로젝트가 도난당한 자산을 동결하거나 회수할 수 있습니다. 예를 들어 USDC에는 자금 이체를 차단할 수 있는 블랙리스트 메커니즘이 있습니다.

2) 블록체인 보안 조직에 가입: 관련 블록체인 보안 조직 또는 그룹에 가입하여 집단적인 힘을 사용하여 문제를 해결합니다.

3) 지갑 고객 지원팀에 문의: 지갑의 고객 지원팀에 적시에 연락하여 전문적인 도움과 안내를 받습니다.

II. OKX Web3 월렛 보안 메커니즘

OKX Web3 월렛은 사용자 자산의 안전을 중시하고 사용자 자산 보호에 지속적으로 투자하여 사용자의 디지털 자산의 안전을 보장하기 위해 여러 가지 보안 메커니즘을 제공합니다.

1) 블랙 주소 라벨 라이브러리: OKX Web3 월렛은 사용자가 알려진 악성 주소와 상호 작용하는 것을 방지하기 위해 풍부한 블랙 주소 라벨 라이브러리를 구축했습니다. 이 태그 라이브러리는 변화하는 보안 위협을 해결하고 사용자 자산의 안전을 보장하기 위해 지속적으로 업데이트됩니다.

2) 보안 플러그인: OKX Web3 월렛은 내장된 피싱 방지 보호 기능을 제공하여 사용자가 잠재적인 악성 링크와 거래 요청을 식별하고 차단하여 계정 보안을 강화할 수 있도록 도와줍니다.

3) 24시간 온라인 지원: OKX Web3 월렛은 도난 및 사기 고객 자산에 대한 후속 조치를 적시에 제공하기 위해 고객에게 24시간 온라인 지원을 제공하여 사용자가 신속하게 도움과 안내를 받을 수 있도록 보장합니다.

4) 사용자 교육: OKX Web3 월렛은 정기적으로 보안 팁과 교육 자료를 배포하여 사용자가 보안 인식을 높이고 일반적인 보안 위험을 예방하고 자산을 보호하는 방법을 이해할 수 있도록 돕습니다.

Q10: 보안 강화를 위해 AI를 사용할 수 있는지 등 첨단 보안 기술을 공유할 수 있나요?

WTF 아카데미:블록체인 및 웹3.0 분야의 보안은 모든 종류의 첨단 보안 기술과 접근 방식이 등장하면서 끊임없이 진화하는 분야이며, 현재 가장 인기 있는 기술 중 일부는 다음과 같습니다.

1) 스마트 계약 감사: 사용 스마트 콘트랙트의 보안 감사를 자동화하는 AI와 머신러닝은 스마트 콘트랙트의 취약점과 잠재적 위험을 감지하여 기존의 수동 감사보다 더 빠르고 포괄적인 분석을 제공합니다.

2) 비정상 행위 탐지: 머신러닝 알고리즘을 사용하여 온체인 거래와 행동 패턴을 분석하여 비정상적인 활동과 잠재적인 보안 위협을 탐지하며, AI는 일반적인 공격 패턴(예: MEV 공격, 피싱 공격)과 비정상적인 거래 행위를 식별하여 실시간 경고를 제공할 수 있습니다.

3) 사기 탐지: AI는 거래 내역과 사용자 행동을 분석하여 사기 가능성이 있는 활동을 식별하고 플래그를 지정할 수 있습니다.

OKX Web3지갑 보안팀: 현재 Web3 영역에서 AI를 적용한 사례가 많이 있으며, 다음은 Web3의 보안 보호를 강화하기 위해 AI를 사용하는 몇 가지 시나리오입니다.

첫째, 이상 탐지 및 침입 탐지: AI와 머신러닝 모델을 사용하여 사용자 행동을 분석합니다. 학습 모델을 사용하여 사용자 행동 패턴을 분석하고 비정상적인 활동을 탐지합니다. 예를 들어, 딥러닝 모델을 사용하여 거래 행동과 지갑 활동을 분석하여 잠재적으로 악의적인 행동이나 비정상적인 활동을 식별할 수 있습니다.

둘째, 피싱 사이트 식별: AI는 웹 콘텐츠와 링크 특성을 분석하여 피싱 사이트를 탐지하고 차단하여 피싱 공격의 위협으로부터 사용자를 보호할 수 있습니다.

셋째, 멀웨어 탐지: AI는 파일의 동작과 특성을 분석하여 알려지지 않은 신종 멀웨어를 탐지하여 사용자가 악성 프로그램을 다운로드하고 실행하는 것을 방지할 수 있습니다.

넷째, 자동화된 위협 대응: AI는 비정상적인 활동을 감지한 후 자동으로 계정을 동결하거나 기타 보호 조치를 수행하는 등 대응 조치를 자동화할 수 있습니다.

마지막으로 OKX 웹3월렛 '보안 특집' 03호를 읽어주셔서 감사드리며, 현재 실제 사례와 위험 식별뿐만 아니라 보안 운영까지 다룰 04호를 준비 중이니 많은 기대 부탁드립니다!

면책 조항:

이 기사는 정보 제공만을 목적으로 하며, (i) 투자 자문 또는 투자 추천, (ii) 디지털 자산의 매수, 매도 또는 보유 제안 또는 권유, (iii) 재무, 회계, 법률 또는 세무 자문을 제공하려는 의도가 아닙니다. 디지털 자산(스테이블코인 및 대체 불가능한 토큰 포함)의 보유는 높은 수준의 위험을 수반하며 크게 변동하거나 심지어 가치가 없어질 수도 있습니다. 회원님의 재정 상황에 비추어 디지털 자산을 거래하거나 보유하는 것이 회원님에게 적합한지 신중하게 고려해야 합니다. 관련 현지 법률 및 규정을 이해하고 준수할 책임은 전적으로 회원님에게 있습니다.