NFT 방어 가이드: 일반적인 네 가지 수단과 세 가지 감별 방법

저자: 리듬 연구소, NFT Labs

Crypto의 세계는 어두운 숲과 같아서, 당신의 주변에는 수많은 위기가 잠재해 있을 수 있습니다. 며칠 전, 해커가 OpenSea 계약 업그레이드 시점을 이용해 모든 사용자에게 피싱 이메일을 보냈고, 많은 사용자들이 이를 공식 이메일로 착각하여 자신의 지갑을 승인하게 되어 지갑이 도난당하는 사건이 발생했습니다. 통계에 따르면, 이 이메일로 인해 최소 3개의 BAYC, 37개의 Azuki, 25개의 NFT Worlds 등의 NFT가 도난당했으며, 바닥가를 기준으로 해커의 수익은 이미 416만 달러에 달했습니다.

그리고 오늘, 주걸륜이 보유한 1개의 MAYC와 2개의 Doodles가 연이어 도난당했습니다; 최상급 NFT 프로젝트인 BAYC와 Doodles의 Discord 커뮤니티도 동시에 해커에게 침해당했습니다. 현재 해커가 초래한 손실은 아직 확인되지 않았습니다.

이제 우리가 방지해야 할 해킹 공격은 기술적 측면뿐만 아니라 사회 공학에서도 발생하고 있으며, 여러 NFT 프로젝트의 가격이 상승함에 따라 조금만 방심해도 막대한 자산을 잃을 수 있습니다. 최근 NFT 분야에서 사기가 빈발하고 있는 점을 감안하여, 리듬 연구소는 몇 가지 일반적인 사기 수법을 정리했습니다. 독자 여러분은 항상 경계를 늦추지 말고 사기에 속지 않기를 바랍니다.

사기 수법:

1. Discord DM을 통한 사기 사이트 링크 전송

Discord DM 링크는 해커가 자주 사용하는 사기 수법으로, 해커는 종종 Discord의 다양한 커뮤니티를 통해 회원들에게 대량으로 DM을 보내거나, 커뮤니티 관리자를 사칭하여 문제 해결을 도와주겠다는 명목으로 사용자에게 DM을 보내 지갑의 개인 키를 빼내갑니다. 또는 가짜 피싱 사이트를 전송하여 사용자에게 NFT를 무료로 받을 수 있다고 속입니다. 사용자가 해커가 만든 가짜 사이트에 권한을 부여하면, 사용자에게 막대한 손실을 초래할 수 있습니다.

2. Discord 서버 공격

Discord 서버가 해커에게 공격당하는 것은 거의 모든 인기 NFT 프로젝트가 겪는 일입니다. 해커는 서버 관리자의 계정을 공격한 후, 서버의 여러 채널에 가짜 공지를 게시하여 커뮤니티 회원들을 해커가 미리 구축한 가짜 사이트로 유도하여 가짜 NFT를 구매하게 만듭니다. 현재 해커는 사기 사이트 등을 통해 서버 관리자의 토큰을 빼내고 있으며, 이 경우 관리자가 2FA 이중 인증을 활성화하더라도 소용이 없습니다. 만약 해커가 구축한 사기 사이트가 사용자 지갑의 권한을 요구한다면, 사용자에게 더 심각한 재산 손실을 초래할 수 있습니다.

3. 가짜 거래 링크 전송

이러한 사기 수법은 사기꾼과 사용자가 비공식적으로 협상하는 NFT 거래 과정에서 자주 발생합니다. Sudoswap, NFTtrader 등의 거래 플랫폼은 사용자가 비공식적으로 서로의 NFT 또는 토큰을 "교환"하도록 장려하며, 이러한 플랫폼은 비공식 거래에 대한 안전 보장을 제공합니다. 이는 NFT 시장에 있어 좋은 일이지만, 현재 해커들은 Sudoswap, NFTtrader 사이트를 모방하여 사기를 치고 있습니다.

Sudoswap, NFTtrader에서 협상이 완료된 후 사용자는 거래를 시작해야 하며, 이 단계에서 주문 확인 사이트가 생성됩니다. 양측이 확인한 후 거래는 스마트 계약을 통해 자동으로 진행됩니다. 사기꾼은 처음에 당신과 어떤 NFT를 교환할지 협의하는 척하며 진짜 사이트 링크를 보여준 후, 거래를 수정하자고 제안합니다. 거래자가 경계를 풀면, 사기꾼은 사기 링크를 전송하고 사용자가 거래를 확인하면, 지갑의 해당 NFT가 사기꾼의 지갑으로 전송됩니다.

4. 니모닉 구문 빼내기

사기꾼은 다양한 수단을 통해 사용자가 개인 키나 니모닉 구문을 자신에게 보내도록 유도합니다. 예를 들어, 사기 사이트를 구축하거나 자신이 사용자를 도와주러 온 관리자라고 가장하는 등의 행동은 모두 사용자의 경계를 낮추고 개인 키와 니모닉 구문을 빼내기 위한 것입니다.

5. 가짜 컬렉션 생성, 프로젝트의 Discord 공개 채널에서 거래 요청

가짜 NFT 컬렉션은 많은 인기 프로젝트가 출시되기 전 가장 쉽게 접할 수 있는 것입니다. NFT 블라인드 박스가 공식 출시되기 전에, 사기꾼은 OpenSea 등 NFT 거래 플랫폼에 이름이 유사한 NFT 컬렉션을 미리 업로드하고, 공식에서 발표된 정보를 바탕으로 이 컬렉션을 화려하게 "장식"합니다. 실제 NFT 컬렉션이 출시되지 않은 상태에서, 사용자는 가장 유사한 이름의 컬렉션을 먼저 검색하게 됩니다. 일부 사기꾼은 사용자가 믿도록 몇 건의 거래를 만들어 현재 매물로 나와 있는 가짜 NFT에 오퍼를 보내기도 합니다.

플랫폼과 프로젝트 측의 로열티 수수료를 절감하기 위해, 커뮤니티 회원들 간에 비공식 거래가 이루어지며, 위에서 언급한 Sudoswap, NFTtrader 사이트를 모방하는 것 외에도, 사기꾼은 커뮤니티 채널에 바닥가보다 약간 낮은 가짜 NFT 컬렉션 링크를 전송하기도 합니다. 사용자는 바닥가보다 낮은 NFT를 급히 구매하려 하다가 NFT의 진위를 간과하여 사기를 당하게 됩니다.

6. 가짜 이메일

대부분의 NFT 플랫폼은 사용자가 이메일을 연결하도록 요구하여 사용자가 자신의 NFT 거래 상황을 즉시 알 수 있도록 합니다. 따라서 이메일은 사기가 만연하는 집합체가 되었습니다. 사기꾼은 보통 OpenSea 플랫폼의 공식 계정을 가장하여 계약 주소를 수정해야 하거나 지갑을 재검증해야 한다는 등의 방식으로 사용자에게 피싱 사이트 링크를 전송합니다. 최근 OpenSea가 계약 업그레이드를 발표한 후, 해커는 이러한 방식으로 사용자 자산을 거의 400만 달러를 빼앗았습니다. 기사를 작성하는 시점에서 OpenSea 팀은 여전히 피해 사용자를 조사하고 있습니다.

사기 방지 가이드

1. 웹사이트 식별

해커가 어떤 화려한 포장을 사용하든, 당신의 암호 자산을 훔치기 위해서는 항상 당신의 지갑과 상호작용할 수 있는 경로가 필요합니다. 일반 사용자는 계약 위험을 식별할 능력이 없을 수 있지만, 다행히도 우리는 여전히 web2가 주도하는 인터넷 세계에 살고 있습니다. 거의 모든 암호 계약은 사용자와 상호작용하기 위해 web2의 프론트 엔드 웹페이지를 필요로 합니다.

따라서 사용자(프로젝트 측이 아님)를 대상으로 하는 암호 자산 도난 사건의 대부분은 가짜 피싱 사이트에서 발생합니다. 피싱 사이트를 식별하는 방법을 알게 된다면, 99%의 암호 자산 도난을 피할 수 있습니다.

스마트폰과 함께 성장한 Z세대에게는, 그들이 여러 앱이 만들어낸 "생태계" 속에서 살고 있기 때문에, web 웹페이지라는 구식의 사물에 대한 이해가 부족할 수 있습니다. web2 시대에 DNS 도메인 시스템은 각 웹사이트에 전 세계적으로 유일한 신원 식별자를 부여합니다. 도메인 구성의 기본 규칙을 이해하는 것만으로도 거의 모든 가짜 피싱 사이트에 대처할 수 있습니다.

전통적인 DNS 도메인에서 도메인 계층은 세 가지로 나뉩니다. 첫 번째 구분 기호(/)부터 시작하여 오른쪽에서 왼쪽으로 읽습니다. 각 마침표는 하나의 계층을 구분합니다. 예를 들어, https://www.opensea.io/에서 ".io"와 ".com", ".cn" 등은 최상위 도메인으로, 이 필드는 사용자 정의할 수 없습니다. "opensea"는 2차 도메인으로, 도메인의 본체이며, 동일한 최상위 도메인(예: 모두 .io) 아래에서 이 필드는 중복될 수 없습니다. "www" 부분은 3차 도메인으로, 이 필드는 웹사이트 운영자가 자유롭게 설정할 수 있습니다. 운영자는 "www" 앞에 4차 도메인, 5차 도메인을 추가할 수도 있습니다.

도메인의 계층 순서는 직관적이지 않습니다: 즉, 오른쪽에서 왼쪽으로 계층이 점차 낮아집니다. 이러한 설계는 대부분의 사람들의 읽기 습관과 정반대이며, 공격자에게 기회를 제공합니다. 예를 들어, https://www.opensea.io.example.com 주소는 opensea 주소와 매우 유사하지만, 실제 도메인은 "example.com"이며 "opensea.io"가 아닙니다.

Web3에서 여전히 피싱 공격이 존재할지는 예측하기 어렵습니다. 그러나 Web2 세계에서는 DNS 도메인 시스템이 도메인(또는 URL)의 유일성을 보장하므로, 도메인이 진짜인 경우 사용자가 가짜 웹사이트를 열 가능성은 거의 없습니다.

2. 개인 키 또는 니모닉 구문을 누설하지 마세요

Crypto 지갑은 Web2의 이메일 등 계정과 달리, 개인 키와 니모닉 구문은 수정하거나 복구할 수 없습니다. 한 번 누설되면 이 지갑은 당신과 해커 모두의 소유가 되며, 당신의 지갑 내 모든 자산은 언제든지 해커에 의해 이동될 수 있습니다. 이더리움 주소의 익명성 때문에 해커가 누구인지 확인할 수 없으며, 손실도 회복할 수 없습니다. 이 지갑은 더 이상 사용할 수 없습니다.

3. 지갑 권한을 즉시 취소하세요

만약 당신이 사기 사이트에서 지갑을 승인했다면, 즉시 다음 세 주소로 가서 지갑 권한 상태를 확인하고 즉시 취소할 수 있습니다:

https://etherscan.io/tokenapprovalchecker

https://revoke.cash/

https://debank.com/