슬로우 포그: 2024년 2분기 미스트트랙 도난 양식 분석

블록체인의 급속한 발전과 함께 사용자를 대상으로 한 코인 도난, 피싱, 사기 등 보안 사고가 증가하고 있으며 공격 방법도 다양해지고 있습니다. 슬로우미스트 슬로우미스트는 매일 피해자들로부터 자금 추적과 보전에 도움을 주고 싶다며 수많은 도움 요청을 받고 있으며, 수천만 원을 잃은 고액 피해자가 적지 않습니다. 이에 따라 이 시리즈에서는 매 분기마다 접수되는 도난 사례를 집계 및 분석하고, 흔하거나 드문 수법을 실제 사례를 통해 분석함으로써 사용자가 자산을 더 잘 보호할 수 있는 방법을 배울 수 있도록 돕고자 합니다.

통계 자료에 따르면 2024년 2분기 미스트트랙팀은 해외 양식 146건, 국내 양식 321건 등 총 467건의 도난 양식을 접수하여 무료 평가 커뮤니티 서비스를 제공했습니다(참고). 이 글은 이메일이나 다른 채널을 통해 접수된 사례가 아닌 양식을 통해 접수된 사례에 대해서만 작성되었습니다)

이 밖에도 미스트트랙 팀은 도난당한 고객 18명이 13개 플랫폼에서 약 20,664,100달러를 동결하는 데 도움을 주었습니다.

도난의 3대 이유

2024년 2분기 양식의 가장 일반적인 수법은 다음과 같습니다.

개인키 탈취

2분기 양식 통계에 따르면 많은 사용자가 개인 키와 니모닉을 Google 문서도구, 텐센트 문서도구, 바이두 클라우드 드라이브, 그라파이트 문서도구 및 기타 클라우드 드라이브에 저장하고 일부 사용자는 WeChat 및 기타 도구를 통해 신뢰할 수 있는 친구에게 개인 키와 니모닉을 보내기도 하며, 일부는 WeChat의 그림 읽기 기능을 사용하여 니모닉을 WPS 양식에 복사한 다음 양식을 암호화하고 클라우드에 켜는 방법도 사용합니다. 일부는 WeChat의 그림 인식 기능을 사용하여 니모닉을 WPS 양식에 복사한 다음 양식을 암호화하고 클라우드 서비스를 켜는 동시에 컴퓨터의 로컬 하드 드라이브에 저장하기도 합니다. 이러한 정보 보안이 개선된 것처럼 보이는 행동은 실제로 정보 도난의 위험을 크게 증가시킵니다. 해커들은 인터넷에서 공개적으로 유출된 계정 번호와 비밀번호 데이터베이스를 수집하여 이러한 클라우드 스토리지 서비스 웹사이트에 로그인을 시도하는 '크래싱'이라는 방법을 자주 사용합니다. 이는 확률적인 행위이지만 로그인에 성공하면 해커가 암호화폐와 관련된 정보를 쉽게 찾아서 탈취할 수 있으며, 이러한 경우는 수동적인 정보 유출로 볼 수 있습니다. 또한 고객 서비스 직원을 사칭한 사기꾼이 피해자에게 니모닉 단어를 입력하도록 유인하거나 디스코드와 같은 채팅 플랫폼에서 피싱 링크에 속아 개인 키 정보를 입력하는 등 적극적인 유출 사례도 있습니다. 미스트트랙 팀은 어떠한 경우에도 개인키/비밀번호를 누구에게도 공개해서는 안 된다는 점을 강력히 알려드립니다.

또한, 가짜 지갑은 개인키 유출에 있어서 최악의 범죄자입니다. 이 부분은 이미 진부한 이야기지만, 검색 엔진을 사용하다가 무심코 광고 링크를 클릭해 가짜 지갑 앱을 다운로드하는 사용자들이 여전히 많이 있습니다. 네트워크상의 이유로 많은 사용자가 타사 다운로드 사이트에서 앱을 다운로드하는 경우가 많습니다. 이러한 사이트는 자신의 앱이 Google Play에서 미러링된 다운로드라고 주장하지만, 실제 보안은 의심스럽습니다. 이전에 슬로우포그 보안팀은 타사 앱 마켓인 apkcombo의 지갑 앱을 분석한 결과, apkcombo에서 제공하는 imToken 버전 24.9.11은 존재하지 않는 버전이며 현재 시중에 가장 많은 가짜 imToken 지갑이 있는 것으로 나타났습니다.

우리는 또한 가짜 지갑 팀과 관련된 여러 백엔드 관리 시스템도 추적했습니다. 여기에는 사용자 관리, 코인 관리, 충전 관리 등 복잡한 디지털 화폐 제어 기능이 포함되어 있습니다. 이러한 유형의 피싱은 많은 사람들이 생각하는 것보다 훨씬 더 고도화되고 전문화되어 있습니다.

예를 들어, 2분기에는 드물게 한 사용자가 검색 엔진에서 "피싱"이라는 단어를 검색했습니다. 사용자가 검색 엔진에서 '트위터'를 검색하다가 실수로 트위터 앱의 가짜 버전을 다운로드했습니다. 사용자가 앱을 열자 시스템은 지역 제한으로 인해 VPN이 필요하다는 메시지를 표시하고 앱과 함께 제공되는 가짜 VPN을 다운로드하도록 안내하여 사용자의 개인 키/도움말이 도용되었습니다. 이와 같은 사례는 모든 온라인 애플리케이션과 서비스는 합법성과 보안을 보장하기 위해 신중하게 검토하고 확인해야 한다는 점을 다시 한 번 상기시켜 줍니다.

피싱

분석에 따르면 2분기 피싱의 원인은 유명 프로젝트의 트윗 아래에 게시된 피싱 링크를 사용자가 클릭했기 때문인 것으로 나타났습니다. 슬로우미스트 보안팀이 통계를 분석한 결과, 잘 알려진 프로젝트의 트윗이 공개된 후 댓글 섹션의 첫 번째 메시지는 사기성 피싱 계정이 차지하는 비율이 약 80%에 달했습니다. 또한, 텔레그램에서 다양한 팔로워 수와 게시글 수, 그리고 등록 시간을 달리하여 잠재적인 구매자가 원하는 계정을 선택할 수 있도록 트위터 계정을 판매하는 수많은 그룹을 발견했습니다. 지금까지의 기록에 따르면, 대부분의 판매 계정은 암호화폐 업계 또는 인터넷 유명인사와 관련된 것으로 나타났습니다.

이 외에도 다음과 같은 계정을 전문적으로 판매하는 웹사이트가 다수 있습니다. 다양한 연도의 트위터 계정을 판매하고 심지어 매우 유사한 계정을 구매할 수 있도록 지원하는 트위터 계정 사이트도 있습니다. 예를 들어, 가짜 Optimlzm 계정은 실제 Optimism 계정과 매우 유사하게 생겼습니다. 이렇게 매우 유사한 계정을 구매한 후 피싱 그룹은 홍보 도구를 사용하여 계정의 상호 작용과 팔로워 수를 늘려 계정의 신뢰도를 높입니다. 이러한 홍보 도구는 암호화폐 결제를 허용할 뿐만 아니라 마음에 들어요, 리트윗, 팔로워 등 다양한 소셜 플랫폼 서비스를 판매하기도 합니다. 피싱 조직은 이러한 도구를 사용하여 많은 팔로워와 게시물을 보유한 트위터 계정을 확보하고 프로젝트 당사자의 정보를 모방하여 역동적인 게시물을 올릴 수 있습니다. 실제 프로젝트 계정과 유사성이 높기 때문에 많은 사용자가 진짜와 가짜를 구별하기 어렵고, 피싱 조직의 성공률이 더욱 높아집니다. 이후 피싱 조직은 자동화된 봇을 사용하여 잘 알려진 프로젝트의 개발 과정을 따라가는 등의 피싱 작업을 실행합니다. 프로젝트가 트윗을 게시하면 봇이 자동으로 답글을 달아 첫 번째 댓글을 확보하여 더 많은 조회수를 유도합니다. 피싱 조직의 위장 계정이 프로젝트 계정과 매우 유사하기 때문에 사용자가 부주의하게 가짜 계정의 피싱 링크를 클릭한 후 승인 및 서명하면 자산 손실로 이어질 수 있습니다.

블록체인 업계에서의 피싱 공격 전반을 살펴보면 다음과 같습니다. 일반적으로 블록체인 업계에서 피싱 공격은 개인 사용자의 경우 주로 '도메인 이름과 서명'이라는 두 가지 핵심 포인트에 위험이 있습니다. 포괄적인 보안 보호를 달성하기 위해 저희는 항상 이중 보호 전략, 즉 개인 보안 인식 방어 + 기술적 방어 수단의 채택을 옹호해 왔습니다. 기술적 방어 수단은 자산 및 정보 보안을 보장하기 위해 피싱 위험 차단 플러그인 Scam Sniffer와 같은 다양한 하드 및 소프트웨어 도구를 사용하여 사용자가 의심스러운 피싱 페이지를 열면 도구가 위험 팁을 팝업하여 위험 형성의 첫 번째 단계를 차단하는 것을 말합니다. 직원 보안 인식 방어 측면에서 블록체인 다크 포레스트 자가 도움말 매뉴얼(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_ CN.md). 이 두 가지 보호 전략의 상호 작용을 통해서만 끊임없이 변화하고 확대되는 피싱 공격 방식에 효과적으로 대처하고 자산 보안을 지킬 수 있습니다.

사기

사기 수법에는 여러 가지가 있으며, 2분기 가장 흔한 사기 수법은 픽시 디스크입니다. 전설에서 용은 마법의 생물로 여겨지며, 배설하지 않고 모든 것을 삼킬 수 있다고 하며, 금과 보석 및 기타 보물을 한번 삼키면 몸에서 꺼내지 못한다는 우화가 있습니다. 따라서 픽시 디스크는 한 번 구매하면 더 이상 판매할 수 없는 디지털 통화의 은유로 사용됩니다.

한 피해자는 "텔레그램 그룹에서 질문을 했는데 한 남자가 많은 답변을 해주고 많은 것을 가르쳐주었고, 이틀 동안 비공개로 채팅을 한 후 그 남자가 꽤 괜찮은 사람이라고 생각했다"고 자신의 경험을 설명했습니다. 그는 저에게 새로운 토큰을 구매할 수 있는 프라이머리 마켓으로 데려가겠다고 제안했고 팬케이크스왑에서 코인의 계약 주소를 알려주었습니다. 제가 구매한 후 코인은 계속 급등했고 그는 6개월에 한 번씩 찾아오는 절호의 기회라며 즉시 더 투자할 것을 제안했습니다. 나는 일이 그렇게 간단하지 않다고 느끼고 그의 조언을 받아들이지 않았고, 그는 나를 서두르고, 속일 수 있다는 것을 깨달은 서두르고, 그룹의 다른 사람들에게 확인을 도와달라고 요청했고, 결과는 이것이 실제로 Pixi 코인이라는 것을 발견했으며, 나는 또한 판매 할 수없는 구매 만 시도했습니다. 사기꾼은 제가 더 이상 포지션을 추가하지 않는다는 사실을 알게 되자 저를 블랙으로 만들었습니다."

이 피해자의 경험은 실제로 픽시 디스크 사기의 전형적인 패턴을 반영합니다.

1. 사기꾼은 함정을 파고 고수익을 약속하는 미끼를 던지는 스마트 컨트랙트를 배포합니다.

2. 사기꾼은 대상자가 토큰을 구매하도록 유도하고, 피해자는 구매 후 토큰의 가치가 급격히 상승하는 경우가 많으므로 보통 토큰이 충분히 상승할 때까지 기다렸다가 상환을 시도하지만 구매한 토큰을 판매할 수 없다는 사실을 알게 됩니다.

3. 마지막으로. 사기범이 피해자가 투자한 돈을 인출합니다.

2번에서 언급한 용감한 토큰인 코인은 모두 BSC에서 거래가 이루어지며, 아래 이미지를 보면 픽시 코인에서 많은 거래가 이루어지고 있으며, 사기꾼들이 보유한 토큰을 지갑과 거래소로 전송하여 많은 사람들이 관련된 것처럼 착각을 불러일으키는 것을 볼 수 있습니다.

픽시 디스크의 숨겨진 특성 때문입니다. 경험이 많은 투자자들도 진실을 파악하기 어려울 수 있습니다. 요즘 밈 바람이 불면서 다양한 종류의 '투도우 코인'이 시장에 일정한 영향을 미쳤습니다. PiPi 디스크의 가격이 급격히 상승함에 따라 사람들은 종종 충동 적으로 구매 추세를 따르고,이 "투도우 열풍"의 물결을 쫓는 진실을 모르는 많은 시장 참여자들이 실수로 PiPi 디스크의 함정에 빠져 구매하여 더 이상 판매 할 수 없게되었습니다.

따라서 미스트트랙팀은 거래 전에 대다수의 사용자가 픽시 트레이 참여로 인한 자금 피해를 방지하기 위해 다음과 같은 조치를 취할 것을 제안합니다:

• 미스트트랙을 사용하여 해당 주소의 위험 프로필을 확인하거나 GoPlus의 토큰 보안 탐지 도구를 사용하여 픽시 코인을 식별하고 거래 결정을 내립니다.

• Etherscan에서 코드의 위험성을 확인합니다, BscScan에서 코드가 감사 및 검증을 받았는지 확인하거나 스캠 토큰 리뷰 탭에서 일부 피해자가 경고를 받은 리뷰를 읽어보세요.

• 관련 가상화폐에 대해 알아보고 프로젝트 당사자의 배경을 고려하여 자체 예방 의식을 높입니다. 높은 수익률은 일반적으로 높은 위험을 의미하므로 높은 수익을 제공하는 가상 화폐에 주의하세요.

마무리

불행하게도 가상화폐를 도난당한 경우, 사례 평가를 위한 무료 커뮤니티 지원 서비스를 제공하며, 다음과 같은 절차만 거치면 됩니다. 분류 가이드라인(도난당한 자금/사기/강요)에 따라 양식을 제출하기만 하면 됩니다. 동시에 제출한 해커의 주소는 위험 관리를 위해 Slow Fog InMist Lab 위협 인텔리전스 파트너십 네트워크와 동기화됩니다. (참고: 중국어 양식은 https://aml.slowmist.com/cn/recovery-funds.html, 영어 양식은 https://aml.slowmist.com/recovery-funds.html)

슬로우미스트는 수년간 암호화폐 자금세탁 방지 분야에 종사해 왔으며 규정 준수, 조사, 감사를 아우르는 완벽하고 효율적인 솔루션을 개발하여 건강한 암호화폐 생태계를 구축하고 웹3 업계, 금융 기관, 규제 기관 및 규정 준수 부서에 전문 서비스를 제공하고 있습니다. 미스트트랙은 지갑 주소 분석, 자금 모니터링, 추적 및 추적 기능을 제공하는 컴플라이언스 및 조사 플랫폼으로 3억 개 이상의 주소 라벨, 1,000개 이상의 주소 개체, 50만 개 이상의 위협 인텔리전스 데이터, 9천만 개 이상의 위험 주소를 축적하여 디지털 자산의 보안을 보장하고 자금 세탁 범죄에 대응하는 강력한 보호 기능을 제공합니다.