NFT 방어 가이드: 자산 안전을 어떻게 보호할까요?

저자: NFTGo

NFT 사용자 수, 거래량 및 시가총액이 지속적으로 증가함에 따라 피싱, 해킹 등 불법 행위자들도 이 시장을 겨냥하기 시작하여 NFT 생태계의 안전을 위협하고 있습니다.

블록체인 보안 및 데이터 분석 회사 PeckShield가 작성한 표에 따르면, 한 번의 피싱 공격에서 총 가치 약 170만 달러의 254개의 NFT가 도난당했습니다; 만우절에 주걸륔의 NFT BAYC#3738이 도난당했으며, 이 사건은 피싱 사이트에 유도되어 mint를 통해 사용자 NFT 조작 권한을 얻는 전형적인 사례입니다; MoonManNFT라는 프로젝트는 free mint라는 명목으로 거의 400개의 NFT를 도난당했습니다……

일반적으로 해커는 Discord와 Telegram을 통해 수집가를 겨냥하고, mint 유도, 피싱 공격 등의 방법으로 사용자 NFT 자산을 도난합니다. 현재 기술 발전에 따라 NFT 투자자와 수집가는 자산 보호를 위한 최신 방법을 신속하게 이해해야 합니다.

NFT 안전 저장 기본 지식

기억하세요:

• 당신의 NFT는 컴퓨터나 모바일 장치에 저장되지 않고, IPFS나 Arweave와 같은 분산형 공간에 저장됩니다.
• 개인 키를 소유하면 블록체인/자산에 대한 완전한 접근 권한을 갖게 됩니다.
• Shamir 개인 키 분할 방식은 니모닉에 이차 보호를 제공합니다.

1. 당신의 NFT는 어디에 저장되어 있나요?

NFT는 콜드 월렛, PC 또는 핫 월렛에 저장되지 않습니다. NFT는 이더리움 블록체인에 위치한 토큰으로, 전 세계 2400개 이상의 운영 중인 네트워크 노드에 의해 지원됩니다. NFT는 완전한 분산형 시스템의 지원을 받아 NFT 생태계의 정상 작동을 보장하며, 온라인 거래를 검증할 수 있습니다. NFT 거래를 진행할 때 실제로 발생하는 활동은 데이터베이스가 해당 NFT의 주소를 변경하는 것입니다.

2. 당신의 이미지, GIF 및 음악은 어디에 있나요?

NFT의 URI(통합 자원 식별자)는 이미지의 위치를 표시합니다. NFT는 일반적으로 IPFS나 Arweave와 같은 분산형 저장 공간에 위치합니다. Web2에서는 AWS와 같은 중앙 집중식 저장소도 존재합니다.

3. 지갑

지갑은 개인 키를 저장하는 소프트웨어로, 거래 활동을 지원합니다. 지갑은 두 가지로 나뉩니다: 핫 월렛(소프트웨어 지갑)과 콜드 월렛(하드웨어 지갑).

핫 월렛(소프트웨어 지갑): 일반 장치에서 실행되는 소프트웨어로, Web3에 연결할 수 있으며, 마우스 클릭만으로 자산을 수신할 수 있습니다.

콜드 월렛(하드웨어 지갑): 하드웨어 장치 전용으로, Web3에 연결하여 자산을 수신할 수 있습니다. 핫 월렛과의 주요 차이점은 콜드 월렛의 니모닉이 절대 인터넷에 연결되지 않으며, 거래를 진행하려면 물리적 수단(예: 터치 스크린)을 통해 승인을 받아야 한다는 점입니다.

적절한 지갑을 선택한 후, 그 기능을 이해해야 합니다:

먼저, 핫 월렛/콜드 월렛은 특정 장치에서 유일한 비밀번호를 생성하도록 요구합니다. 비밀번호를 알아야만 지갑에 접근할 수 있습니다.

지갑의 공개 주소는 자유롭게 공유할 수 있으며, 이 주소는 Web3의 이메일 주소와 다르지 않습니다. 주소를 알게 되면 누구나 당신에게 NFT를 보낼 수 있습니다. 이는 새로운 해킹 공격의 매개체가 되기도 합니다. 해커는 사람들에게 NFT를 보내고, 사람들이 해당 NFT와 상호작용할 때(예: 다른 지갑으로 전송하거나 판매할 때) 해커는 그 사람의 지갑에서 자산을 훔칠 수 있습니다. 낯선 NFT를 클릭하지 마세요! 또한 사람들은 악성 서명이나 승인을 이용해 당신의 IP 주소를 얻을 수 있습니다.

피싱 이메일도 일반적인 사기 수법입니다. 이메일의 목적은 당신이 지갑을 가짜 웹사이트에 연결하도록 유도하여 해커가 자산을 훔치도록 하는 것입니다. 그러므로 낯선 링크를 클릭하지 마세요! 항상 웹사이트 이름을 확인하세요. 현재 해커 공격 방법은 비교적 단순하여 공개 주소와 이메일을 통해 접근할 수 있으며, 이를 무시하면 됩니다.

개인 키를 잘 보관하세요. 개인 키는 당신의 공개 주소에 접근하는 비밀번호입니다. 개인 키의 기능은 다음과 같습니다:

(1) 당신의 NFT를 주소에서 이동합니다.

(2) 계약에 서명하여 해당 주소의 개인 키를 소유하고 있음을 증명합니다(공식 주소를 소유하고 있음을 검증하는 것과 유사합니다).

공개 주소와 개인 키의 가장 큰 차이점은, 당신의 개인 키를 절대 다른 사람에게 공개해서는 안 된다는 것입니다. 그렇지 않으면 그들은 당신의 개인 키를 자신의 지갑에 가져와 모든 자산을 훔칠 수 있습니다.

개인 키와 공개 주소의 개념을 명확히 한 후, 니모닉에 대해 살펴보겠습니다. 니모닉은 일반적으로 12, 18 또는 24개의 단어로 구성되어 지갑을 복구하는 데 사용됩니다. 개인 키를 잃어버린 경우, 니모닉을 사용하여 새로 만들 수 있습니다. 개인 키와 마찬가지로, 니모닉은 절대 다른 사람이 알 수 없으며, 전자 저장 장치나 서비스 제공업체(예: 구글 드라이브, 아이클라우드, 사진첩, 모바일 메모 및 복사본)에 저장해서는 안 됩니다. 가장 이상적인 방법은 물리적으로 저장하는 것입니다. 예를 들어, 종이에 적는 것입니다. 어떤 사람들은 철제 제품을 사용하여 니모닉을 저장하기도 하는데, 이는 화재에 더 강하기 때문입니다. 다른 방법, 예를 들어 패스워드도 지갑의 안전성을 높일 수 있습니다. 패스워드는 기호나 단어의 조합으로, 이를 니모닉과 결합하면 기존 지갑을 기반으로 새 지갑을 만들 수 있습니다. 예를 들어, 기존 지갑을 기반으로 새 지갑을 만들려면 다음과 같이 입력하면 됩니다:

• 니모닉 + "NFTGo"
• 니모닉 + 임의의 숫자
• 니모닉 + 임의의 문자
• 니모닉 + 임의의 구문

위의 방법 중 어느 것이든 서로 다른 개인 키 공개 주소를 가진 새 지갑을 만들 수 있지만, 패스워드 기능은 콜드 월렛에만 적용됩니다.

4. 두 번째 보호층 추가

콜드 월렛을 구매하는 것은 보안을 강화하는 효과적인 방법입니다. Trezor, Ledger 및 Keystone은 가장 인기 있는 하드웨어 지갑 중 몇 가지이지만, 각각 장점과 단점이 있습니다. 각 콜드 월렛은 고유한 특징을 가지고 있습니다. 예를 들어, Keystone은 QR 코드를 사용하여 데이터 전송을 수행하여 USB 포트나 블루투스를 통해 트로이 목마가 하드웨어 지갑으로 전송되는 위험을 피할 수 있으며, ENS(Ethereum Name Service)를 지원하는 최초의 하드웨어 지갑으로, 원래 주소를 확인하는 번거로움을 없앱니다. 또한 사용자는 NFT를 사용하여 4인치 화면을 사용자 정의할 수 있습니다.

Keystone을 예로 들어 설정해 보겠습니다.

(1) 공식 웹사이트에서 Keystone 지갑을 구매합니다.

(2) Keystone 패키지를 설치합니다.

(3) Keystone을 시작합니다.

(4) 지갑의 PIN을 설정합니다 ------ 이 장치 전용의 패스워드입니다.

(5) 기업에서 사용하는 경우, Shamir 개인 키 분할 방식을 사용하는 것이 좋습니다. 2개의 니모닉을 3개로 나누거나 3개의 니모닉을 5개로 나누어, 이 3개의 개인 키를 다른 장소에 보관할 수 있습니다. Shamir 백업 중 5개 중 3개를 가지고 있고 2개를 잃어버린 경우에도 나머지 3개의 백업을 사용하여 지갑을 복구할 수 있습니다.

BAYC를 전송하는 예를 통해 NFT 하드웨어 지갑의 사용을 구체적으로 살펴보겠습니다. Keystone에서는 사용자가 microSD 카드에 업로드된 ABI 데이터 파일을 사용하여 주소의 진위를 신속하게 확인할 수 있으며, 주소 옆에 파란색 글씨로 "Board Ape Yacht club"이 표시됩니다. 또한 해당 거래가 악의적인 행동과 관련이 있는지 확인해야 하며, 그렇지 않으면 NFT를 사기꾼이나 해커에게 서명하게 될 수 있습니다.

NFT 사기를 피하는 방법

1. 반드시 공식 웹사이트에서 Web3 앱 또는 지갑을 다운로드하세요

암호화/NFT 해킹 공격의 주요 원인은 사용자가 비공식 웹사이트에 접근하는 것입니다. 대부분의 이러한 웹사이트는 사기를 목적으로 만들어졌으며, 공식 웹사이트와 매우 유사하게 보입니다. Google Play에서 Web3 앱을 다운로드하지 마세요. 원래 경로에서 가져온 것이 아닐 수 있습니다. 공식 웹사이트를 식별하기 위해 다음과 같은 조언을 참고하세요:

(1) 주소 표시줄에 주의하세요. https://로 시작하는 주소만 클릭하세요( http://는 클릭하지 마세요! ). "s"는 "안전"을 의미하며, 해당 웹사이트의 데이터가 암호화되어 전송됨을 나타내어 해킹 공격을 방지합니다.

(2) 도메인을 확인하세요. 해커가 가장 좋아하는 수법은 모조 웹사이트를 만드는 것이며, 그 도메인은 정품 웹사이트와 매우 유사하여 두 번 클릭해야만 차이를 인식할 수 있습니다. 예를 들어, https://wobble.com이라는 웹사이트의 모조판은 https://w0oble.com일 수 있습니다. 도메인의 모든 문자를 항상 두 번 클릭하는 것을 기억하세요.

(3) 철자 오류에 주의하세요. 대부분의 가짜 웹사이트는 조잡하게 급조된 것이며, 철자, 발음, 대소문자 및 문법에서 오류가 발생할 수 있습니다.

2. 공식 채널, 공식 트위터 및 공식 링크만 탐색하세요

앞서 언급했듯이, 공식 웹사이트, 트위터 계정 및 Discord만 믿을 수 있습니다. 다음과 같은 조언을 참고하여 확인하세요:

(1) 계정 활동을 확인하세요.

(2) 팔로워 수를 확인하세요.

(3) 계정 이력을 확인하세요.

(4) 댓글 및 참여도를 확인하세요.

3. 로그인 자격 증명이나 개인 키를 누구와도 공유하지 마세요

암호화 커뮤니티에서 매우 유명한 말이 있습니다: "키가 없으면 코인이 없다, 코인과 키는 하나다." 개인 키나 니모닉이 공유되면 해당 계정은 더 이상 당신의 것이 아닙니다. 가장 좋은 방법은 다른 사람이 개인 키를 얻지 못하도록 하는 것입니다.

4. NFT를 구매하기 전에 먼저 검증하세요

NFT 생태계에서 실사 조사는 항상 매우 중요합니다. NFT를 구매하거나 발행하기 전에, 프로젝트에 관련된 팀의 평판, 커뮤니티 내 유기적 상호작용 및 사람들의 의견을 반드시 확인해야 합니다.

5. 여러 지갑을 사용하여 NFT를 발행하세요

예를 들어, Burner 지갑은 NFT 발행을 위해 만들어진 보조 지갑입니다. 이러한 지갑은 발행에 필요한 가스 수량에 따라 생성되고 자금이 주입됩니다. 발행이 완료되면 발행된 NFT는 다른 지갑으로 전송되며, 그 지갑은 NFT를 저장하는 역할을 합니다. 이렇게 하면 주요 지갑이 공격받기 쉬운 웹사이트와 상호작용할 위험이 줄어듭니다. 여러 개의 Burner 지갑을 생성하고, 취약점을 발견하면 즉시 버리세요.

6. 낯선 계정의 링크를 조심스럽게 클릭하세요

해커의 일반적인 사기 수법은 낯선 Discord 계정이나 스팸 이메일을 통해 경품이나 화이트리스트 링크를 보내는 것입니다. Telegram, Discord 및 이메일을 설정하여 낯선 계정이나 비공식 주소의 메시지를 수신하지 않도록 하며, 사용자가 그룹 소유자나 공식적으로 DM을 보내는 경우에도 주의하세요.

7. 토큰 승인 및 사용하지 않는 토큰을 철회하세요

사람들은 매일 다양한 프로토콜 및 링크와 상호작용하며, 스마트 계약 기반의 정보에 따라 접근 권한과 허가를 부여합니다. 정기적으로 접근 권한을 검토하고 철회하는 것이 매우 중요합니다. https://revoke.cash/ 웹사이트를 통해 접근 권한을 취소할 수 있습니다.

8. 다음 단계를 진행하기 전에 스마트 계약의 거래 조건을 주의 깊게 읽고 검증하세요

거래를 확인하기 전에 스마트 계약의 모든 세부 사항을 신중하게 읽었는지 반드시 확인하세요. 많은 해커가 스마트 계약을 이용하여 허가를 속여서 당신의 지갑에 있는 자금에 무단으로 접근합니다. 세부 사항이 위협이 되지 않거나 취약점이 없도록 주의 깊게 읽어야 합니다.

9. 뉴스에 주목하고 새로운 취약점을 파악하세요

결론

사람들은 NFT 시장에 대한 관심이 날로 증가하고 있으며, 불법 행위자들도 그 안에 숨어 있어 수집가와 투자자로부터 작품과 자금을 훔치기 위해 수법을 사용하고 있습니다. 귀하의 소중한 자산, 지갑 및 자금이 해커의 손에 넘어가지 않도록 반드시 주의하세요.