암호 자산 안전 사고가 빈발하고 있습니다. 어떻게 사용 중인 플랫폼과 지갑 APP의 안전성을 보장할 수 있을까요?

저자: 목목, 백화 블록체인

자산 안전은 항상 암호화 산업에서 중요한 주제로 논의되고 있지만, 백화 블록체인의 관찰에 따르면, 안전에 대한 과학적 교육이 자주 이루어짐에도 불구하고 실제로 안전 문제에 관심을 가지는 사람은 많지 않습니다. 왜냐하면 많은 사람들의 일반적인 심리는 "이건 완전히 확률 사건이야, 나 같은 '세 개의 수박'에게는 해당되지 않아"라는 것이고, 오히려 이보다 더 낮은 확률의 복권에 당첨될 것이라고 생각하기 때문입니다.

사실, 암호 자산의 주류화에 따라 개인 사용자 자산에 대한 안전 사건이 빈발하고 있으며, 대형 투자자든 소형 투자자든, 이러한 사건은 종종 우리 주변에서 발생하고 있으며, 더 이상 소수 확률 사건이 아닙니다.

그렇다면 최근 가장 흔한 개인 사용자 자산 안전 사건을 바탕으로, 우리와 밀접한 관련이 있는 안전 문제를 정리해 보겠습니다. 가장 먼저 고려해야 할 것은: 당신이 사용하고 있는 플랫폼과 지갑 앱이 안전한지 어떻게 확인할 수 있을까요?

01 "공식 채널"이 반드시 안전한가?

대부분의 사람들은 플랫폼과 지갑 앱의 안전성을 확보하는 것이 간단하다고 생각하며, "공식 채널"만 확인하면 된다고 생각합니다. 하지만 사실 그렇지 않습니다……

1. 공식 웹사이트보다 더 공식적인 "공식 웹사이트"
모두가 "공식 웹사이트"를 찾는 것을 알고 있지만, 일반적인 주류 지갑을 예로 들면, 당신은 그들의 정확한 공식 웹사이트 주소를 즉시 나열할 수 있나요? 즉시 "문제"를 풀어보세요:

대부분의 사람들은 A와 B를 선택할 수 있으며, 일상적인 관례에 따라, 많은 사람들은 브랜드 이름 + .com 또는 io 접미사가 "브랜드 실력이 있는" 공식 웹사이트라고 생각하지만, 사실 많은 팀들이 초기에는 창업 소규모 팀으로 시작했으며, 그 당시 등록한 공식 웹사이트 도메인은 매우 "조잡"했습니다. 정답은 사실 C입니다.

여전히 같은 이유로, 이러한 지갑의 공식 팀은 시작할 때 상표 등록조차 고려하지 않았을 수 있습니다…… 그리고 나서 브랜드 상표가 다른 사람에게 선점당했습니다. 그 후 다른 사람은 상표를 가지고 특정 검색 엔진에서 브랜드 보호 서비스를 구매하거나, 검색 결과에 "브랜드 공식" 인증 태그를 붙이거나, 프로모션 서비스를 구매하여 항상 앞에 노출되게 할 수 있습니다. 이는 매우 혼란스러울 수 있으며, 이러한 일이 바로 2년 전 발생했습니다. 현재도 일부 주류 검색 엔진에서 "xxx 지갑 공식 웹사이트"를 검색하면 처음 몇 페이지의 결과는 대개 가짜입니다.

이러한 공식 웹사이트보다 더 공식적인 "공식 웹사이트"는 실제로 많은 사람들을 "함정"에 빠뜨렸습니다. 왜냐하면 해커에게는 비용이 낮고 성공률이 높은 방법 중 하나이기 때문입니다.

2. 공식 웹사이트 주소를 알면 어떻게 될까요?

많은 사람들은 정확한 공식 도메인을 입력하면 다운로드한 앱이 반드시 안전하다고 생각합니다. 하지만 여전히 문제가 발생할 수 있습니다. 최근 Bitkeep 지갑의 안전 사고에서 BitKeep는 공지를 발표하며, 팀의 초기 조사 결과 일부 APK 패키지가 해커에 의해 탈취되었고, 해커가 삽입한 코드가 있는 패키지가 설치되었다고 밝혔습니다.

간단히 말해, 일부 사용자가 다운로드한 APK 패키지가 해커에 의해 "탈취"되어 해커가 특별히 가공한 "지갑"으로 설치된 것입니다. 우리는 이를 비공식 "가짜 지갑"으로 분류할 수 있습니다.

공지에서 언급된 주요 원인은 "탈취"이며, "탈취" 방법과 과정이 많기 때문에 현재 어떤 과정에서 문제가 발생했는지는 불분명하지만, 우리는 해커가 어떻게 사용자가 "공식" 도메인을 입력했음에도 불구하고 가짜 지갑을 다운로드하게 만드는지에 대해 이야기할 수 있습니다: 첫 번째 방법, 로컬 호스트 파일 조작

로컬 PC 장치가 유도되거나 취약점을 통해 악성 소프트웨어, 바이러스를 설치한 후, 로컬 호스트 파일을 수정하여 특정 도메인을 비공식 서버의 IP(예: 해커가 준비한 "공식" 페이지)로 직접 지정할 수 있습니다. 즉, 브라우저를 열고 정확한 도메인을 입력하더라도 해커가 제공한 웹사이트에 접속하게 되고, 다운로드한 것도 가짜 앱이 됩니다.

두 번째 방법, 로컬 브라우저 또는 앱에서 열린 페이지 조작

특정 플랫폼 웹사이트나 지갑 웹페이지를 열 때, 브라우저 플러그인을 통해 특정 웹페이지의 표시 내용을 직접 수정할 수 있습니다. 예를 들어, 앱 다운로드 버튼이 가리키는 앱 다운로드 링크 주소를 해커가 준비한 주소로 변경하거나, 자산 충전 및 인출 주소를 해커의 주소로 변경할 수 있으며, 클립보드에 있는 지갑 주소나 개인 키를 읽고 수정할 수도 있습니다. 브라우저 플러그인이 웹페이지를 수정할 수 있는 권한이 있는지에 대해서는 걱정할 필요가 없습니다. 왜냐하면 거의 모든 브라우저 플러그인이 이러한 권한을 가지고 있기 때문입니다. 만약 당신이 주의 깊게 관찰한다면, 우리가 자주 사용하는 작은 여우 지갑도 이러한 권한을 가지고 있다는 것을 알 수 있습니다…… 얼마 전에도 주요 CEX에서 다운로드한 가짜 앱으로 인해 충전 및 인출 주소가 변경되어 자산이 손실되는 사건이 발생했습니다.

세 번째 방법, 원격 DNS 탈취, 도메인 해석 기록 수정, 앱 제조사 서버 해킹

이것은 원격 인터넷 서비스 제공업체의 문제로, 발생 빈도가 낮고 비용과 난이도가 매우 높지만 실제로 발생한 적이 있습니다. 이것은 유사한 "투독" 방식으로, 사용자가 방문하는 도메인이 해커의 주소로 해석되도록 합니다. 또한 서비스 제공업체의 도메인 서비스 계정이 해킹되어 도메인 해석이 수정되는 등의 이유로 공식 웹사이트를 입력했음에도 불구하고 해커 웹사이트에 접속하는 경우도 발생할 수 있습니다. 앱 제조사가 해킹당한 경우는 말할 필요도 없습니다. 이러한 상황은 우리가 통제할 수 없는 것입니다.

02 백화 블록체인의 안전 팁

해커가 공식 웹사이트조차 탈취할 수 있다는 사실을 알게 되면 "방어할 수 없다"는 감탄이 절로 나옵니다. 그럼 어떻게 해야 할까요? 사실 이러한 안전 문제는 암호화 분야에만 국한되지 않습니다. 디지털 시대에 접어들면서 모든 앱은 안전 문제를 가지고 있으며, 은행 및 제3자 결제 앱에서도 많은 가짜 "앱" 현상이 존재합니다. 따라서 우리는 과거의 경험을 바탕으로 몇 가지 안전 예방 팁을 정리하여 여러분에게 참고하실 수 있도록 하겠습니다:

1. HTTPS 사용으로 탈취 방지

정확한 공식 도메인을 입력할 때, 반드시 도메인 앞에 https://를 추가해야 합니다. 이는 매우 중요합니다. 웹사이트를 열 때, 로컬 탈취 또는 원격 DNS 탈취 위험이 있는 경우, 일반적으로 브라우저 주소 표시줄 상단에 "안전하지 않음"이라는 빨간 경고와 페이지 안전 위험 등의 여러 경고가 표시됩니다. 구체적인 원리는 여기서 설명하지 않겠습니다. 간단히 말해, 이것은 비대칭 암호화의 광범위한 응용 중 하나로, 탈취 방지를 위해 암호화 서명의 비대칭 검증을 통해 공식 제공 웹페이지에 접속하고 있음을 보장합니다.

여기서 한 가지 부가적인 이야기를 하자면, 사실 많은 프로젝트의 웹사이트, 심지어 DeFi 웹사이트조차 HTTPS를 사용하거나 강제로 사용하지 않는 경우가 많습니다. 이는 전혀 이해할 수 없는 일이며, 팀의 진지한 태도와 전문성을 느끼기 어렵습니다.

2. APK 파일 해시 확인

특정한 이유로 인해, 국내 안드로이드 사용자들은 Google Play를 통해 직접 앱을 다운로드할 수 없고, APK 설치 패키지만 다운로드할 수 있으며, 대부분의 가짜 앱 안전 사건은 APK가 교체되거나 가짜 APK를 다운로드하는 문제에서 발생합니다. 따라서 우리는 반드시 APK가 공식 제공된 것인지 확인해야 합니다.

먼저 HTTPS로 공식 웹사이트를 연 후, 다운로드 페이지에 들어가면, 세심한 분들은 다운로드 페이지에 "애플리케이션 안전성 검증" 또는 SHA256 등의 문구 링크가 있는 것을 볼 수 있습니다. 예상컨대 80%의 사람들은 안전 경고를 보지 않을 것이고, 90%의 사람들은 검증 링크를 클릭하여 내용을 확인하지 않을 것입니다…

안전 검증 링크 또는 SHA256 링크를 클릭하면, 우리는 공식에서 발표한 APK 설치 패키지 파일에 해당하는 해시 값을 볼 수 있습니다(파일에 어떤 수정이 있으면 해시 값이 완전히 변경됩니다). APK 파일을 다운로드한 후, 해시 값을 계산하여 공식 발표된 것과 일치하면, 파일이 교체되지 않았음을 나타냅니다.

APK를 다운로드한 후, 중요한 단계가 있습니다. 구글 소속의 virustotal.com 바이러스 검사 웹사이트를 열어 방금 다운로드한 APK 파일을 업로드합니다. 우리는 이 파일의 해시 값을 비교할 수 있으며, 수십 개의 바이러스 데이터베이스를 통해 이 파일이 악성 코드를 포함하고 있는지 여부를 검색할 수 있습니다. 이는 일석이조의 도구라고 할 수 있습니다.

마지막으로, 더욱 철저하게 하려면 해시 값과 다운로드 링크가 로컬 바이러스나 플러그인에 의해 동시에 변조될까 걱정된다면, 다른 환경의 브라우저를 통해 해시 값이 일치하는지 이중 확인할 수 있습니다.

만약 당신이 다운로드하려는 지갑의 공식 웹사이트가 HTTPS를 지원하지 않는다면, 가장 먼저 의심해야 할 것은 이것이 진짜 공식 웹사이트인지입니다. 또한 APK 파일 해시 값을 확인하지 않는다면, 이 지갑 팀의 안전성에 대한 진지한 태도를 의심할 수 있습니다. 이러한 소홀함이 발생하는 것은 매우 부적절하고 무책임한 일입니다. 해당 앱을 사용할지 신중하게 고려하시기 바랍니다.

3. 현재 설치된 플랫폼, 지갑 앱의 안전성을 어떻게 확인할까요?
사실, 가장 좋은 방법은 공식 웹사이트의 다운로드 페이지를 통해 안드로이드의 Google Play, IOS App Store에서 설치하는 것입니다. 이론적으로 구글과 애플의 앱 스토어의 안전성은 지갑 공식의 안전성보다 훨씬 높습니다. 이들 플랫폼은 세계 최고의 보안 소프트웨어와 하드웨어, 인재를 보유하고 있으며, 지갑이나 플랫폼은 이들과 비교할 수 없는 수준입니다.

따라서 지갑, 플랫폼 공식 웹사이트의 다운로드 페이지를 통해 Google Play, App Store 페이지를 열고, 개발자 회사 이름, 다운로드 수, 리뷰 수(주류 지갑의 경우 이 수치가 매우 큽니다)가 문제가 없을 경우, 우리는 다운로드한 앱이 안전하다고 판단할 수 있습니다.

현재 장치에서 사용 중인 APK 패키지 설치 앱이 안전한지 확실하지 않은 경우, 앞서 두 가지 안전 팁 방법을 따라 공식 확인 및 해시 검증 후 다운로드하여 스마트폰에 덮어 설치하면 됩니다. 하지만 반드시 백업된 복구 문구를 잊지 마세요. 덮어쓰기 과정에서 오류가 발생하여 데이터를 잃어버릴 수 있으므로 지갑을 복구할 수 없습니다(하지만 일반적으로 덮어쓰기 설치나 앱 업데이트는 데이터 손실을 초래하지 않습니다).

4. 지갑 안전에 대한 기타 조언

콜드 지갑이나 하드웨어 지갑을 사용하지 않고 핫 지갑을 선호하는 친구들에게 가장 안전한 것은 아이폰 장치에 설치하는 것입니다. 첫째, 해외 ID만 있으면 되고 안드로이드처럼 여러 가지 번거로움이 필요하지 않으며, 둘째, 아이폰이 잠금된 후 암호화된 데이터는 키 없이 해제할 수 없습니다.

해외의 많은 주류 앱(예: Metamask)은 APK 단독 다운로드를 지원하지 않습니다. 이는 안전 문제 때문이지만, 많은 제조사들이 신규 유치를 위해 부득이하게 안드로이드 사용자 수가 너무 많아 APK 다운로드를 허용하고 있습니다. 안드로이드에서 APK 문제를 우회하려면 구글 서비스 프레임워크(구글 플레이 포함), 구글 인증기와 같은 필수 소프트웨어가 필요하며, 현재는 특정 이유로 인해 설치가 매우 어렵습니다. 많은 사람들이 찾는 제3자 솔루션의 출처가 비공식적일 수 있으며, 이는 안전하지 않을 수 있습니다. 또한 충분히 철저하지 않을 수 있습니다.

물론 안드로이드 스마트폰을 사용해야 한다면, 현재 구글의 모든 서비스 프레임워크를 원래 지원하는 제조사를 선택할 수 있습니다. 예를 들어 삼성과 같은 제조사입니다. 또한 지갑을 보안 칩 격리의 안전 폴더에 설치하면 두 번째 보안 보장이 될 수 있으며, 아이폰과 마찬가지로 분실 후 민감한 데이터에 접근할 수 없는 추가적인 안전 효과를 얻을 수 있습니다.

5. 플랫폼 앱에 대한 조언

대부분의 플랫폼 CEX는 다중 인증을 사용하므로 가짜 앱의 영향을 받지 않습니다(해커에게는 난이도가 높습니다). 하지만 앱 내의 충전 및 인출 주소가 공식 웹사이트 페이지에서 제공하는 것과 일치하는지 확인해야 하며, 반드시 플랫폼 내의 "화이트리스트" 기능을 활성화하여 자산을 안전한 화이트리스트 주소로만 인출할 수 있도록 해야 합니다.

또한 플랫폼 CEX가 직면하는 가장 큰 위험은 앞서 언급한 두 가지 로컬 탈취로 인한 충전 및 인출 주소 수정 외에도 피싱입니다. 대부분의 사람들의 앱, 문자 메시지, 구글 인증기는 실제로 동일한 장치에 설치되어 있기 때문에, 해커가 한 장치를 제어하거나 감시하기만 하면, 당신의 세 가지 정보를 대략적으로 장악하여 플랫폼 자산을 조작할 수 있습니다.

따라서 안전을 위해서는 한 장치에서 다중 인증을 동시에 사용하는 것을 권장하지 않습니다. 구글 인증기를 다른 안전한 스마트폰에 설치하거나, 스마트폰에 앱을 설치하지 않고 PC 또는 PC 웹 브라우저를 통해 플랫폼 계정을 조작할 수 있습니다. 이렇게 하면 단일 지점 "폭파"를 방지하고 자산 안전을 최대한 보호할 수 있습니다.

03 결론

안전은 작은 일이 아닙니다. 백화 블록체인은 안전 문제를 매일 이야기할 가치가 있으며, 항상 이야기해야 한다고 생각합니다. 일상적인 작업 과정에서, 아마도 단 1초의 시간을 더 들여 이러한 세부 사항에 주의를 기울이면 자산의 안전성을 99% 향상시킬 수 있는 가능성을 확보할 수 있습니다. 왜 하지 않겠습니까?