체인 상의 작업 필수 방지 가이드

본 문서는 링크 캡처의 오리지널 기사로, 저자는 구이입니다.

블록체인 기술은 현재 시대에서 가장 중요한 혁신 중 하나로, 탈중앙화를 실제로 가능하게 하여 누구나 자신의 체인 상 자산에 대해 절대적인 통제권을 가지며 외부의 간섭이나 조작을 받을 수 없게 합니다.

이러한 권리는 책임과 함께하며, 이는 사용자가 자신의 자산 안전에 대해 100% 책임을 져야 함을 의미합니다. 개인 키 보관 및 일상적인 작업에서 특별히 주의해야 하며, 개인 키나 니모닉이 도난당할 경우 모든 자산이 도난 위험에 처하게 됩니다. 많은 프로젝트 측(예: Tether)은 이론적으로 스마트 계약을 통해 체인 상 자산을 통제하고 도난당한 자산을 회수할 수 있지만, 일반적으로 해커의 고의적인 공격으로 인해 대규모 손실이 발생했을 때만 도움을 주며, 개인의 실수로 인한 자산 손실은 프로젝트 측의 지원을 받기 어렵습니다.

앞으로 점점 더 많은 거래 활동이 체인 상으로 이전될 것으로 예상되지만, 불행히도 체인 상 사기는 여전히 대량으로 발생하고 있으며, 많은 새로운 형태가 파생되고 있습니다. 여러 독자들은 링크 캡처에 체인 상 사기를 당해 수만 위안의 손실을 입었다고 보고했지만, 이미 회복할 수 없는 상황입니다. 더 많은 암호화폐 산업 초보자들이 산업 상식을 이해하고 함정을 피할 수 있도록 돕기 위해, 링크 캡처는 본문에서 몇 가지 일반적인 사기 수법을 정리했습니다. 구체적인 내용은 다음과 같습니다:

1. 가짜 코인 사기

사례: 샤오밍이 관심 있는 프로젝트가 IDO를 진행 중이며, 텔레그램 그룹에서 누군가가 토큰 스마트 계약 주소를 게시한 것을 보았습니다. 샤오밍은 해당 주소를 Uniswap에 입력한 후 거래가 가능하다는 것을 발견하고, 수십만 위안의 가치가 있는 유동성이 있다는 것을 확인한 후 1 ETH를 구매했습니다. 그러나 이후 1배 이상 상승하고 판매할 준비를 하던 중 시스템에서 판매할 수 없다는 메시지를 받았고, 결국 자산이 0이 되었습니다.

분석: 이러한 상황은 가짜 코인 사기에 해당합니다. 일부 사기 그룹은 코인을 대량으로 발행하고 주목도가 높은 코인의 이름을 사용하여 Uniswap 거래 풀을 만들고 일정한 유동성을 주입하여 사용자를 진짜 코인으로 오도하려 합니다. 이후 일부 소셜 미디어 채널을 통해 스마트 계약 주소를 퍼뜨립니다.

하지만 이러한 토큰의 스마트 계약 코드에는 실제로 발행자만 토큰을 판매할 수 있도록 규정되어 있으며, 다른 사용자는 구매만 할 수 있고 판매는 할 수 없습니다. 사용자가 소셜 미디어에서 주소를 보고 진짜라고 믿고 토큰을 구매한 후에는 상승하는 것을 지켜보거나 결국 0이 되는 상황을 맞이하게 됩니다.

링크 캡처의 관찰에 따르면, 대부분의 Uniswap에서의 가짜 코인은 특정 사기 그룹에 의해 발행되며, 각 토큰 발행자 주소는 전송 기록을 통해 연결될 수 있습니다. 최근 2개월 동안 최소 70종 이상의 가짜 코인이 발행되었으며, 이익은 최소 4000 ETH 이상입니다.

구체적인 수법으로는, 그들은 바이낸스, 비탈릭 부테린 및 0x-b1로 표시된 주소에 일부 가짜 코인을 전송하여 이 주소의 팔로워들의 주목을 끌고, 매번 발행 활동 주기는 약 3-5일이며, 먼저 Uniswap에 수백 ETH의 유동성을 추가한 후 구매자가 거의 없을 때 모든 유동성을 철회하고, 모든 ETH를 새로운 주소로 전송하여 새로운 코인을 재발행합니다. 불규칙적으로 Tornado.cash를 통해 자금을 이동하기도 합니다.

더욱 오도적인 것은, 이러한 사기 그룹은 특정 거대 투자자가 이러한 코인을 구매하는 것처럼 보이게 만들기도 합니다. 아래 그림과 같이, 해당 주소는 순위가 높고 수십억 달러의 자산을 보유한 것으로 널리 알려져 있으며, Etherscan에서 이 주소가 Uniswap에서 여러 새로운 코인을 구매한 기록이 나타납니다.

일부 거대 투자자 주소 추적자는 이러한 기록을 보고 "따라 거래"를 할 수 있지만, 구체적인 거래 기록을 클릭하면 거래 행위가 해당 주소 소유자에 의해 시작된 것이 아니라, 가짜 코인 발행자 주소가 스마트 계약을 이용해 직접 Uniswap에서 구매하고 순위 주소를 수취 주소로 설정한 것임을 알 수 있습니다.

샤오밍 주소 외에도, Etherscan에 표시된 많은 ETH 대규모 주소에서도 유사한 상황이 발생하고 있습니다.

따라서, Uniswap에서 거래할 때는 반드시 공식 발표된 계약 주소를 사용하거나 Uniswap 추천 목록의 코인을 사용해야 하며, 다른 채널에서 본 스마트 계약 주소에 대해서는 경계를 유지해야 합니다. 그렇지 않으면 큰 손실을 초래할 수 있습니다.

2. 가짜 APP 사기

사례 1: 샤오니는 새 휴대폰을 바꾸고, 어떤 웨이신 그룹에서 imtoken 직원으로 보이는 사용자가 속보 이미지를 게시하고 APP 다운로드 링크를 첨부한 것을 보았습니다. 새 휴대폰에 imtoken을 다운로드하지 않았기 때문에 즉시 QR 코드를 스캔하여 APP을 다운로드하고 개인 키를 입력하여 지갑을 가져왔지만, 곧 주소의 모든 자산이 전송되어 약 2만 위안의 손실을 입었습니다.

사례 2: 《워싱턴 포스트》에 따르면, 이달 초 두 명의 사용자가 애플 앱 스토어에서 암호화 하드웨어 지갑 Treznor의 이름을 검색할 때, 진짜 Treznor와 매우 유사한 로고와 색상을 사용하는 APP이 나타났습니다. 당시 Treznor는 모바일 APP을 출시하지 않았지만, 그들은 Treznor가 실제로 모바일 버전을 출시했다고 오해하여 다운로드하고 개인 키를 입력했습니다. 결국 각각 17.1 비트코인과 1.4만 달러 가치의 ETH를 도난당했습니다.

분석: 개인 키와 니모닉은 지갑 자산에 대한 절대적인 통제권을 의미하므로, 많은 사기들이 사용자 개인 키를 빼내기 위해 노력하고 있습니다. 공식 APP을 가장하는 것이 가장 일반적인 수법 중 하나로, 이러한 가짜 APP은 공식 속보를 가장하여 사용자를 유도하거나, 검색 엔진에 비용을 지불하여 가짜 웹사이트의 순위를 높이거나, 애플/안드로이드 공식 앱 스토어에 동일한 이름의 가짜 APP을 출시합니다. 이들은 공식 웹사이트 및 이미지 정보를 고도로 모방하며, 사용자가 APP을 다운로드하고 니모닉을 입력하면 지갑 자산이 즉시 전송됩니다.

따라서, 지갑 및 거래소 관련 APP을 다운로드할 때는 반드시 공식 채널에서 다운로드하고, 웹사이트 도메인 등의 정보가 정확한지 확인해야 합니다.

3. 가짜 고객 서비스 사기

사례: 샤오잔이 어떤 DApp 제품을 사용할 때 문제가 발생하여 텔레그램 그룹에서 공식 직원에게 문의하려고 했습니다. 그러자 한 사용자가 개인 메시지로 상황을 문의하며, 공식 직원과 개인적으로 대화하여 문제를 해결할 수 있다고 알려주고 계정 이름을 샤오잔에게 보냈습니다. 그래서 샤오잔은 계정 이름을 클릭하여 개인 대화 화면으로 들어갔습니다.

이 공식 직원은 샤오잔에게 어떤 상황이 발생했는지 친절하게 물어보았고, 이는 프로젝트 데이터베이스 문제로 해결 중이라고 하며, 오류가 계속 발생하지 않도록 계정을 재설정해야 한다고 말하며 샤오잔에게 어떤 지갑을 사용하는지 물어본 후 링크를 제공하고 샤오잔에게 니모닉을 입력하여 지갑을 가져오도록 유도했습니다. 그러나 샤오잔은 경계심으로 인해 다음 단계를 진행하지 않아 니모닉 유출을 피했습니다.

분석: 현재 위챗, 텔레그램 등 여러 커뮤니티에는 공식 고객 서비스로 가장한 계정이 거의 존재하며, 다양한 방법으로 사용자 신뢰를 얻으려 하고, 가능한 한 대화를 지갑으로 유도하여 사용자가 니모닉이나 개인 키를 입력하도록 유도합니다. 사용자가 입력하면 모든 자산이 빠르게 전송됩니다.

따라서, 다양한 커뮤니티에서 도움을 요청할 때는 반드시 상대방의 신원을 확인해야 하며, 신원이 불확실할 경우 스크린샷을 찍어 그룹에 올려 다른 활발한 사용자에게 확인을 요청해야 합니다. 일반적으로 공식 직원은 사용자가 개인 키를 입력하도록 유도하지 않고, 그룹 채팅에서 사용자가 개인적으로 대화하도록 유도합니다.

4. 에어드랍 사기

사례: 샤오시가 웨이신 그룹에서 누군가가 유명 프로젝트의 에어드랍 정보를 게시한 것을 보았습니다. 텔레그램 그룹에서 몇 가지 특정 소셜 미디어 작업을 완료하면 수백 달러의 토큰 보상을 받을 수 있다고 하였습니다. 샤오시는 텔레그램 로봇의 지시에 따라 모든 작업을 완료했지만, 이후 로봇이 계약 주소로 소량의 토큰을 먼저 전송해야 에어드랍 토큰을 받을 수 있다고 알렸습니다. 비용이 크지 않다고 생각한 샤오시는 요구에 따라 토큰을 전송했지만, 이후 에어드랍 토큰을 받지 못하고 오히려 수십 달러를 잃게 되었습니다.

분석: 소셜 미디어 작업을 기반으로 한 토큰 에어드랍은 대량으로 존재하여 사용자 경계를 낮추기 쉽지만, 바로 이 점 때문에 많은 사기꾼들이 사용자의 느슨한 심리를 이용하여 사기를 저지릅니다. 에어드랍을 통해 사용자가 스마트 계약으로 토큰을 전송하도록 유도하며, 단일 금액은 보통 크지 않지만, 모이면 상당한 금액이 됩니다.

현재, 사용자에게 외부 지갑 주소로 토큰을 전송해야 에어드랍을 받을 수 있는 실제 에어드랍 활동은 없습니다. 따라서, 토큰 전송이 필요한 에어드랍 활동은 무시해야 합니다.

5. 몇 가지 주의 사항

앞서 언급한 고의적인 사기를 방지하는 것 외에도, 체인 상 작업은 여전히 잠재적인 작업 실수로 인한 안전 위험에 직면해 있습니다. 주요 사항은 다음과 같습니다:

첫째, DApp에 대한 과도한 권한 부여를 피하고 정기적으로 권한을 정리해야 합니다. 사용자가 특정 DApp과 처음 상호작용할 때 권한을 부여해야 하지만, 이로 인해 위험이 발생할 수 있습니다. 해당 DApp이 이후 공격을 받으면 사용자의 자산을 직접 도난당할 수 있으므로, 사용자는 정기적으로 자주 사용하지 않는 DApp 권한을 정리하거나 토큰 전송량 한도를 설정해야 합니다.

둘째, 가능한 한 보안 회사의 감사 코드를 받지 않은 DApp 사용을 피해야 하며, 특히 높은 APY를 주장하는 DApp은 안전 위험이 커서 원금 손실로 이어질 수 있습니다.

셋째, 다시 강조해야 할 점은, 주소 개인 키와 니모닉을 안전하게 보관해야 하며, 가능하면 인터넷에 연결되지 않은 하드웨어나 노트북에 보관하고, 어떤 제3자에게도 개인 키와 니모닉을 누설하지 않아야 합니다. 이는 모든 안전 조치 중 가장 중요한 사항입니다.

블록체인 기술이 파생하는 거대한 상상 공간과 더 대규모의 응용은 더 많은 사용자가 더 높은 체인 상 작업 능력과 지식을 갖추는 데 의존하며, 체인이 사기가 만연한 법외의 장소가 되지 않도록 하여 많은 사용자가 무의미한 큰 손실을 겪지 않도록 해야 합니다. 따라서 앞서 언급한 과학 보급 및 교육의 의미는 더욱 강조됩니다.