Defiance Capital 창립자: 60개의 NFT가 도난당한 후, 나는 어떻게 사기를 방지했는가?

저자：Arthur, Defiance Capital
편집: 리듬 BlockBeats

이 글은 Defiance Capital의 창립자 Arthur가 개인 소셜 미디어 플랫폼에서 발표한 의견을 정리한 것입니다.

처음에 이 내용은 우리의 포트폴리오 회사와 파트너를 위해 작성되었습니다. 여러 생각을 한 후, 이를 공개해야 한다고 생각했습니다.

연구와 최고의 사이버 보안 전문가와의 소통을 통해, 우리는 해커 조직 BlueNorOff가 암호화 분야의 모든 유명 조직을 목표로 하는 조직적인 음모를 진행하고 있다고 믿습니다. 그들의 사회 공학 공격이 매우 정교하므로, 그들이 암호화 분야의 관계도를 그려놓고, 어떤 피싱 이메일이 우리의 심리 방어선을 통과할 가능성이 높은지 알고 있다고 믿습니다. 이러한 공격이 어떻게 이루어지는지 더 알고 싶다면, 이 기사를 읽어보는 것을 강력히 추천하며, 그 안의 조언도 참고할 가치가 있습니다.

핵심은 우리가 암호화 산업이 국가 지원을 받는 사이버 범죄 조직의 적극적인 목표가 되고 있다는 것을 인식해야 한다는 것입니다. 이 조직은 매우 영리하고 능숙하며, 미래에 도구와 공격 방식을 변경할 가능성도 있습니다. 현재의 공격 방법이 덜 효과적이 되면, 예를 들어 최근에 발생한 트로이 목마화된 DeFi 앱과 지갑 공격처럼, 북한은 이 조직에 더 많은 자원을 투입하여 공격의 강도를 확대할 가능성이 높습니다.

모든 표준 사이버 보안 조언을 제쳐두고, 사이버 보안 인식이 높은 친구의 도움을 받아 다음과 같은 불완전한 암호화 관련 보안 조언을 제안합니다. 이것이 우리 모두에게 유사한 사건이 발생하는 것을 방지하기를 바랍니다.

온체인 암호 자산을 기업급 호스팅 솔루션에 저장하기

하드웨어 지갑만으로는 EOA(Externally owned account)를 보호하기에 충분하지 않습니다. 그들은 가짜 Metamask 브라우저 확장을 삽입하여 예상치 못한 거래를 승인할 수 있습니다. 최소한 Gnosis Safe와 같은 여러 하드웨어 지갑으로 보호되는 다중 서명 지갑이어야 합니다. Fireblocks, Copper, Qredo와 같은 더 고급 호스팅 솔루션을 사용하는 것을 강력히 추천합니다. 이들은 거래 승인을 위한 기본 다중 서명 2FA(이중 인증) 지갑을 제공합니다.

원격 팀을 채용할 때 추가적인 실사를 수행하기

원격 팀을 채용할 때는 특히 소프트웨어 엔지니어 또는 개발자를 고용할 때 추가적인 실사를 수행해야 합니다. "Lazarus APT 그룹은 심지어 암호화폐 소프트웨어를 개발하는 가짜 회사를 만드는 데 참여했습니다." 우리는 포트폴리오 회사 중 하나에서 소프트웨어 엔지니어 직무의 지원자가 면접 시 의심스러웠고, 그들의 이력서와도 일치하지 않았다는 이야기를 들었습니다.

암호 거래 전용 컴퓨터 구성하기

암호 거래에만 사용되는 전용 컴퓨터가 있어야 하며, 이메일, 인터넷 링크, 메시지 애플리케이션, MS Word 문서, PDF 등과 상호작용하지 않아야 합니다.

모든 로그인에 2FA 적용하기

암호화와는 관련이 없지만, 중요하므로 언급할 필요가 있습니다. 클라우드 저장소, 이메일, Telegram 등 메시지 애플리케이션은 2FA 로그인을 활성화해야 합니다. SMS 2FA 대신 Google 인증기를 사용하세요.

가능한 경우 YubiKey와 같은 하드웨어 2FA 지갑을 사용하고, 회사 및 개인 계정 모두에 적용하세요.

자주 사용하는 암호 DApp 웹사이트를 즐겨찾기에 추가하기

때때로 검색 엔진이 피싱 웹사이트를 검색해낼 수 있으며, 검색 중 실수로 피싱 웹사이트에 접속할 수 있습니다. 암호 DApp 웹사이트에 접근할 때는 즐겨찾기 목록을 통해 방문하는 것이 가장 좋습니다.

불필요한 Token 권한 철회하기

Token 권한은 다른 당사자가 귀하의 자산을 이동할 수 있도록 허용하며, 대부분의 스마트 계약과 상호작용하는 데 필요한 조건입니다. 무제한 Token 권한을 피하고, 정기적으로 불필요한 권한을 철회하는 것이 좋습니다. 이는 Revoke를 통해 수행할 수 있습니다.

주소 모니터링 시스템 구축하기

내부 암호화폐 지갑 주소는 면밀히 모니터링해야 하며, 무단 거래가 발생할 경우 팀이 즉시 인지하고 신속하게 조치를 취할 수 있도록 해야 합니다. Etherscan과 Nansen은 이러한 솔루션을 제공합니다.

팀원들에게 정기적인 사이버 보안 교육 실시하기

모든 팀원은 입사 시 사이버 보안 교육을 받아야 하지만, 조직이 성장함에 따라 종종 간과됩니다.

올바르게 구성된 이메일의 DNS 설정으로 피싱 및 스팸 방지하기

가능한 경우 SPF(발신자 정책 프레임워크), DKIM(도메인 키 식별 이메일) 및 DMARC를 하드 실패 모드 또는 엄격 모드로 사용하세요.

웹사이트보다 브라우저를 신뢰하기

브라우저 주소창 아래의 내용은 안전하지 않을 수 있으며, 잠재적인 공격 매개체가 될 수 있습니다. 로그인하지 않은 경우, 일부 DApp은 암호 지갑에 로그인하라는 팝업 창을 표시할 수 있습니다. 절대 비밀번호를 입력하지 마세요.