월드컵이 다가오고 있으니 "신들의 마지막 전투"를 감상할 때 더욱 위험 사기를 조심해야 합니다
월드컵의 열기에 휩싸인 가운데, 각종 핫이슈를 이용한 토큰/NFT 프로젝트에 대해서도 소홀히 해서는 안 됩니다. 편리한 보안 검사 도구를 합리적으로 활용하여 자신의 암호 자산을 잘 보호해야 합니다.1. 월드컵과 관련된 암호화폐 위험이 끊임없이 발생하고 있다
2022년 카타르 월드컵이 다가오고 있으며, 이번 월드컵은 메시는 물론, 호날두, 벤제마, 모드리치, 레반도프스키 등의 선수들에게 마지막 월드컵이 될 가능성이 높다. "신들의 마지막 전투"가 다가오는 이 시점에서, 월드컵과 관련된 다양한 블록체인 사기도 끊임없이 발생하고 있다.
GoPlus Token 탐지 엔진의 데이터 통계에 따르면, 최근 일주일 동안 "FIFA" 또는 "World Cup"이라는 이름이 포함된 위험한 토큰이 1000개 이상 발생했으며, 관련 주소는 16만 개를 초과하고, 누적 유동성은 500만 달러를 초과했다.
아래 목록에는 주요 위험 유형이 포함되어 있다:
동시에 월드컵과 관련된 다양한 NFT도 계속해서 등장하고 있으며, 그 중에는 심각한 위험을 가진 NFT도 다수 포함되어 있다. 따라서 월드컵의 열기에 휩쓸리지 말고, 각종 핫이슈를 이용한 토큰/NFT 프로젝트에 대해 경계하며, 편리한 보안 탐지 도구를 합리적으로 활용하여 자신의 암호 자산을 보호해야 한다.
2. 사용자들이 직면할 수 있는 토큰 위험 소개
토큰 위험은 다양하며, 월드컵 기간 동안 집중적으로 발생할 수 있다. 여기서는 몇 가지 주요하고 매우 심각한 위험을 소개한다.
1. 피리우 토큰
계약에 명확한 악성 코드가 포함되어 있어 사용자가 거래를 할 수 없거나 자산 손실을 초래하는 토큰이다.
예를 들어 아래의 토큰(BSC 체인, 0xaf25a7336f4984976febc5c0bca62caeb57b4a97)에는 악성 코드가 존재한다.
위 그림에서 보듯이, 해당 계약 코드의 모든 관련 기능은 외부 계약을 통해 구현되며, 모든 보유자의 잔액은 외부 계약에 저장된다. 즉, 이 외부 계약이 새로운 것으로 교체되면 모든 보유자의 잔액이 직접적으로 0이 된다. 이것이 심각한 위험을 가진 악성 코드이다.
2. 언제든지 자폭할 수 있는 토큰
계약 자폭이란 간단히 말해 계약이 파괴될 수 있으며, 파괴된 후에는 계약이 존재하지 않게 되고, 계약에 해당하는 자산도 사라진다는 것이다. 즉, 계약이 사라지면 해당 토큰도 사라지고, 사용자의 자산도 직접적으로 사라진다. 또한 모니터링에 따르면, 자폭 기능이 포함된 계약의 토큰은 일반적으로 이 기능을 활성화한다.
예를 들어 아래의 토큰(이더리움, 0xc1f5ba8bab3ca299f9817876a6715627f9e2b11a)에는 자폭 기능이 존재한다.
위 그림에서 보듯이, 코드의 "kill" 기능이 활성화되면 해당 계약은 자폭하게 되고, 그 토큰도 사라지게 된다.
3. 소유자가 잔액을 수정할 수 있는 경우
즉, 토큰 계약에 소유자 주소가 다른 주소의 해당 토큰 잔액을 수정할 수 있는 기능이 있으며, 피해자의 허가 없이도 가능하다.
예를 들어 아래의 토큰(BSC 체인, 0xf3f064ed4848345dd7505915c3d43c238831f1a2)에는 이러한 문제가 존재하며, 소유자 주소가 다른 주소의 잔액을 수정할 수 있다.
문제가 있는 주요 코드는 위 그림과 같으며, 소유자 주소가 "adress from"의 토큰을 "address[]"에 있는 주소에 직접 할당할 수 있으며, 사용자 허가 없이도 가능하다.
3. NFT 위험 소개
토큰 외에도 NFT에도 다양한 보안 위험이 존재한다. 관련 보안 기관의 데이터 통계에 따르면, 많은 NFT가 계약 수준에서 일정한 보안 취약점을 가지고 있다(목록에는 몇 가지 일반적이고 심각한 NFT 위험이 나열되어 있다):
또한 NFT는 쉽게 위조될 수 있어, 월드컵 NFT 사기도 빠르게 증가할 수 있다.
여기서는 몇 가지 매우 심각한 NFT 계약 위험을 소개한다.
1. 권한 부여 대상 제한으로 거래 불가
일반적으로 화이트리스트 외의 주소는 계약에 권한을 부여할 수 없다. 분산형 NFT 거래 플랫폼은 계약 권한이 필요하므로, 사용자는 분산형 거래소에서 해당 NFT를 거래할 수 없다.
이러한 사기는 일반적으로 프로젝트 측이 화이트리스트에 있는 주소에게 데이터를 조작하게 하여, 사용자가 거래 플랫폼에서 해당 NFT의 거래 데이터가 정상적으로 보이는 것으로 착각하게 만든다. 그러나 사용자가 구매 후 다시 판매하려고 할 때, 거래가 불가능하다는 것을 알게 된다.
위 사례에서 해당 NFT 계약 코드에는 권한 부여 대상이 계약이 될 수 없다는 요구가 있으며, opensea에 주문을 걸기 위해서는 opensea의 계약에 권한을 부여해야 하므로, 이 NFT는 주문을 걸 수 없다.
코드는 아래 그림과 같다.
위 그림에서, 오직 _addressTransferToContract 명단에 있는 주소만 권한 부여에 성공할 수 있으며(즉, 화이트리스트에 있는 주소만 권한을 부여할 수 있다), 이 명단에 없는 주소가 계약에 권한을 부여하면 실패하게 된다.
2. 무단 전송
즉, NFT의 소유자가 무단으로 다른 주소의 해당 NFT를 자신이 지정한 주소로 전송할 수 있다.
이 악의적인 수법은 일반적으로 두 가지 형태로 사용된다:
(1) NFT를 판매한 후 직접 전송
아래 그림과 같이, 해당 NFT(이더리움, 0xa9bcd4bd5b851479307fe71398ce2352c281e0c1)를 판매한 후, 직접 전송된다.
이러한 사기가 가능하게 된 이유는 해당 계약 코드에 설정된 주소가 이 NFT의 모든 권한을 가지고 있기 때문이다. 따라서 이 주소는 언제든지 다른 주소의 해당 NFT를 직접 전송할 수 있다. 아래 그림과 같다.
(2) 유명인의 소유를 위조하고 해당 NFT를 전송하여, 해당 NFT가 소위 유명인의 보증을 받았다고 주장
최근 많은 사용자들이 피드백을 주었는데, 일부 NFT 프로젝트가 특정 유명 인사의 지지를 받았다고 주장하며, 그 유명 인사가 거래를 했다고 하여 우리 프로젝트의 안전성을 문의해왔다. 사실 이것은 "무단 전송"의 또 다른 구체적인 형태이다.
주요 과정은 다음과 같다:
먼저 NFT를 특정 공개된 유명 인사 주소에 민트하고, 해당 NFT 계약 코드에는 무단 전송의 논리가 포함되어 있다.
이후 적절한 시기를 찾아 해당 NFT를 유명 인사의 주소에서 전송한다. 그러면 체인상에서는 유명 인사의 주소가 해당 NFT를 보유하고 있을 뿐만 아니라 전송한 것으로 나타난다(특히 전송 단계는 매우 혼란스러워, 일반 사용자는 유명 인사가 실제로 해당 NFT를 거래했다고 오해할 수 있다).
이후 프로젝트 측은 이를 바탕으로 소위 "유명 인사 보증"을 홍보하여 사용자를 사기칠 수 있다.
4. 사용자로서 관련 위험을 어떻게 방어해야 할까
먼저, 방어 의식을 세우고, 자신의 상황에 따라 기본적인 방어 조치를 마련해야 한다.
(1) 월드컵과 관련된 사기가 점점 더 많아질 것이라는 점을 분명히 인식하고 항상 주의해야 한다. 월드컵이 진행됨에 따라 관련 열기가 점차 높아지고, 더 많은 사기가 발생할 것이다. 월드컵이나 FIFA와 관련된 것 외에도, 월드컵의 유명 선수(예: "메시 코인", "호날두 코인" 등이 등장할 수 있음)나 인기 사건과 관련된 사기도 있을 수 있다. 항상 주의해야 한다.
(2) 관심 있는 토큰/NFT에 대해서는 신중하게 접근하고, 먼저 공식 웹사이트/커뮤니티/twitter 등을 통해 기본 상황을 파악해야 한다.
(3) 다른 사람이 추천하는 토큰이나 링크에 대해서는 반드시 조심하고, 사기를 당하지 않도록 해야 한다.
위의 주의 사항은 사실 복잡하지 않지만, 왜 공격자들이 자주 성공할 수 있을까?
첫째, 공격 범위가 넓고 사용자 수가 많아 항상 누군가는 빠져나가게 된다; 둘째, 사용자의 조급한 심리를 이용하여 사용자에게 공포를 유발하고, 동시에 사용자에게 생각할 시간을 주지 않는다; 셋째, 사용자가 토큰/NFT 사기를 빠르게 탐지할 수 있는 도구가 부족하다.
둘째, 보안 탐지 도구를 사용하는 법을 배워야 한다.
토큰/NFT의 다양한 사기를 방지하기 위해, 구매 전에 관련 탐지 도구를 사용하여 미리 점검하고, 가능한 한 위험을 피해야 한다.
1. 토큰 탐지에 대해서는 GoPlus 토큰 보안 탐지 서비스를 사용할 수 있다.
GoPlus 토큰 보안 탐지 서비스는 현재 가장 많은 토큰을 커버하고, 탐지 항목이 가장 다양하며, 탐지 결과가 가장 정확한 토큰 탐지 서비스 중 하나이다. 현재 이 탐지 서비스는 TokenPocket, AveDex, Mask, Bitkeep 등 많은 유명 블록체인 제품에 통합되어 있다.
GoPluseco의 토큰 보안 탐지 소개 페이지(https://gopluseco.io/detail/49)
페이지를 열면 토큰에 해당하는 공용 체인을 선택하고 주소를 입력하면 탐지 결과를 확인할 수 있다.
탐지 버튼을 클릭하면 계약 보안, 피리우 위험, 보유량 및 잠금 상태 등 수십 가지 보안 탐지 내용을 포함한 종합적인 보안 탐지 결과가 나타난다.
2. NFT 탐지에 대해서는 GoPlus NFT 보안 탐지 서비스를 사용할 수 있다.
GoPlus NFT 보안 탐지 서비스는 현재 주요 NFT 보안 탐지를 지원하고 있다. 이 보안 서비스는 X2Y2 등 주요 플랫폼에서도 사용되고 있다.
GoPluseco의 GoPlus NFT소개 페이지(https://gopluseco.io/detail/75)
페이지를 열면 NFT에 해당하는 공용 체인을 선택하고 주소를 입력하면 탐지 결과를 확인할 수 있다.
탐지 버튼을 클릭하면 계약 보안, NFT 진위, 거래 정보 등 수십 가지 보안 탐지 내용을 포함한 종합적인 보안 탐지 결과가 나타난다.
3. 직접 GoPluseco에서 주소를 입력하여 검색할 수 있다.
GoPluseco에서 주소를 입력하여 검색할 수 있으며, 여기에는 토큰 및 NFT 관련 탐지가 통합되어 있다.
주소를 입력하면 해당 주소의 악성 행동 여부를 탐지하고, 관련 토큰/NFT 탐지 입구를 제공한다.
위의 내용은 모두 GoPluseco(https://gopluseco.io/)에서 제공되며, GoPluseco는 업계 내 우수한 보안 애플리케이션이나 서비스를 집계하여 사용자에게 최적의 보안 솔루션을 매칭해준다. 보안 관련 문제가 발생했을 때, GoPluseco에 문의해보면, 여기서 질문에 대한 답변을 받을 수 있다.
또한 월드컵 기간 동안, GoPluseco(https://gopluseco.io/)는 월드컵 안전 테마 페이지를 제공하여 월드컵 관련 토큰, NFT 및 피싱 사이트를 탐지할 수 있는 보안 서비스를 제공하여 모든 사람의 자산 안전을 보호할 것이다.
