스나이핑 피싱: OKX Web3 지갑의 네 가지 위험 거래 차단 기능을 한눈에 이해하기

Scam Sniffer가 발표한 2024년 중반 피싱 보고서에 따르면, 2024년 상반기 동안 EVM 체인에서 26만 명의 피해자가 3.14억 달러를 잃었으며, 그 중 20명은 각각 100만 달러 이상을 잃었습니다. 안타깝게도, 한 피해자는 1100만 달러를 잃어 역사상 두 번째로 큰 도난 피해자가 되었습니다.

보고서 요약에 따르면, 현재 대부분의 ERC20 토큰 도난은 Permit, IncreaseAllowance 및 Uniswap Permit2와 같은 피싱 서명에 의해 발생하고 있습니다. 대규모 도난 사건의 대부분은 Staking, Restaking, Aave 담보 및 Pendle 토큰과 관련이 있습니다. 피해자들은 주로 가짜 Twitter 계정의 피싱 댓글을 통해 피싱 사이트로 유도됩니다.

피싱 공격은 분명히 체인 상의 보안 문제의 주요 피해 지역입니다.

사용자 기반 거래 수요를 수용하는 진입 제품으로서, OKX Web3 지갑은 보안 조치 강화와 사용자 교육에 집중하고 있습니다. 제품 측면에서, 해당 팀은 최근 고빈도 피싱 시나리오에 대한 위험 거래 차단 기능을 업그레이드했으며, 앞으로도 더 많은 위험 시나리오를 인식하고 사용자에게 알릴 것이라고 밝혔습니다.

이 문서는 OKX Web3 지갑의 최신 업그레이드된 네 가지 위험 거래 차단 기능이 적용되는 시나리오를 명확히 설명하고, 일부 도난 사례의 작동 원리를 설명하여 도움이 되기를 바랍니다.

1. EOA 계정에 대한 악의적 권한 부여

6월 26일, 한 사용자가 가짜 Blast 피싱 사이트에서 여러 피싱 서명에 서명하여 21.7만 달러를 잃었습니다; 7월 3일, ZachXBT는 주소 0xD7b2가 Fake_Phishing 187019 피싱의 피해자가 되어 6개의 BAYC NFT와 40개의 Beans를 잃었다고 보고했습니다(가치 약 100만 달러 이상); 7월 24일, 한 Pendle 사용자가 1시간 전에 여러 Permit 피싱 서명으로 인해 약 469만 달러 가치의 PENDLEPT 재질권 토큰을 도난당했습니다.

최근 두 달 동안, 다양한 서명 피싱으로 인해 발생한 손실 사건과 단일 금액은 적지 않으며, 이는 보안 문제 발생의 중요한 시나리오가 되었습니다. 대부분의 시나리오는 사용자가 해커의 EOA 계정에 권한을 부여하도록 유도하는 것입니다.

EOA 계정에 대한 악의적 권한 부여는 일반적으로 해커가 다양한 복지 활동 등을 통해 사용자를 유도하여, 사용자의 주소를 EOA 주소에 서명하여 권한을 부여하는 것을 의미합니다.

EOA는 Externally Owned Accounts의 약자로, "외부 계정"으로도 번역됩니다. 이는 이더리움 기반 블록체인 네트워크의 계정 유형으로, 이더리움의 또 다른 계정 유형인 계약 계정(Contract Account)과 다릅니다. EOA는 사용자가 소유하며 스마트 계약의 통제를 받지 않습니다. 플레이어가 체인에서 서핑할 때 일반적으로 프로젝트 측의 스마트 계약 계정에 권한을 부여하며 개인 소유의 EOA 계정에는 권한을 부여하지 않습니다.

현재 가장 일반적인 권한 부여 방식은 세 가지입니다: Approve는 ERC-20 토큰 표준에 존재하는 일반적인 권한 부여 방법입니다. 이는 제3자(예: 스마트 계약)가 토큰 보유자의 이름으로 일정량의 토큰을 사용할 수 있도록 권한을 부여합니다. 사용자는 특정 스마트 계약에 대해 일정량의 토큰을 미리 권한 부여해야 하며, 이후 해당 계약은 언제든지 transferFrom 기능을 호출하여 이러한 토큰을 전송할 수 있습니다. 사용자가 실수로 악의적인 계약에 권한을 부여하면, 이러한 권한이 부여된 토큰은 즉시 전송될 수 있습니다. 주목할 점은 피해자 지갑 주소에서 Approve의 권한 부여 흔적을 볼 수 있다는 것입니다.

Permit은 ERC-20 표준에 기반하여 도입된 확장 권한 부여 방식으로, 메시지 서명을 통해 제3자가 토큰을 사용할 수 있도록 권한을 부여합니다. 간단히 말해, 사용자는 서명을 통해 다른 사람이 자신의 토큰을 전송하도록 승인할 수 있습니다. 해커는 이러한 방법을 이용하여 공격할 수 있습니다. 예를 들어, 그들은 피싱 사이트를 만들고 지갑 로그인 버튼을 Permit으로 교체하여 사용자의 서명을 쉽게 얻을 수 있습니다.

Permit2는 ERC-20의 표준 기능이 아니라 Uniswap이 사용자 편의를 위해 도입한 기능입니다. 이 기능은 Uniswap 사용자가 사용하는 동안 한 번만 Gas 비용을 지불하면 됩니다. 그러나 주의해야 할 점은, 만약 당신이 Uniswap을 사용한 적이 있고 계약에 무한한 권한을 부여했다면, Permit2 피싱 공격의 목표가 될 수 있습니다.

Permit과 Permit2는 오프라인 서명 방식으로, 피해자 지갑 주소는 Gas를 지불할 필요가 없으며, 피싱자의 지갑 주소가 권한 부여를 블록체인에서 수행합니다. 따라서 이 두 가지 서명의 권한 부여 흔적은 피싱자의 지갑 주소에서만 볼 수 있습니다. 현재 Permit과 Permit2 서명 피싱은 Web3 자산 보안 분야의 주요 피해 지역이 되었습니다.

이 시나리오에서 OKX Web3 지갑의 차단 기능은 어떻게 작용합니까?

OKX Web3 지갑은 서명 대기 거래를 사전 분석하여, 분석 결과 거래가 권한 부여 행동이며 권한 부여된 주소가 EOA 주소일 경우, 사용자에게 경고 알림을 제공하여 사용자가 피싱 공격을 당해 자산 손실을 방지하도록 합니다.

2. 악의적 계정 소유자 변경

악의적 계정 소유자 변경 사건은 일반적으로 TRON, Solana와 같은 계정 소유자 설계가 있는 공공 블록체인에서 발생합니다. 사용자가 서명하면 계정에 대한 제어권을 잃게 됩니다.

TRON 지갑을 예로 들면, TRON의 다중 서명 권한 시스템은 세 가지 다른 권한을 설계했습니다: Owner, Witness 및 Active로, 각 권한은 특정 기능과 용도가 있습니다.

Owner 권한은 모든 계약 및 작업을 실행할 수 있는 최고 권한을 가지고 있습니다; 이 권한을 가진 사람만이 다른 권한을 수정할 수 있으며, 다른 서명자를 추가하거나 제거할 수 있습니다; 새 계정을 생성하면 기본적으로 계정 본체가 이 권한을 가집니다.

Witness 권한은 주로 슈퍼 대표(Super Representatives)와 관련이 있으며, 이 권한을 가진 계정은 슈퍼 대표의 선거 및 투표에 참여하고 슈퍼 대표와 관련된 작업을 관리할 수 있습니다.

Active 권한은 일상적인 작업에 사용되며, 예를 들어 송금 및 스마트 계약 호출에 사용됩니다. 이 권한은 Owner 권한에 의해 설정 및 수정될 수 있으며, 특정 작업을 수행해야 하는 계정에 할당되는 경우가 많습니다. 이는 여러 권한 부여 작업(예: TRX 송금, 자산 스테이킹)의 집합입니다.

한 가지 경우는 해커가 사용자 개인 키/복구 문구를 얻은 후, 사용자가 다중 서명 메커니즘을 사용하지 않는 경우(즉, 해당 지갑 계정이 사용자 혼자만 제어하는 경우), 해커는 Owner/Active 권한을 자신의 주소에 부여하거나 사용자의 Owner/Active 권한을 자신에게 이전할 수 있습니다. 이 작업은 일반적으로 악의적 다중 서명으로 알려져 있습니다.

사용자의 Owner/Active 권한이 제거되지 않은 경우, 해커는 다중 서명 메커니즘을 이용하여 사용자와 함께 계정 소유권을 제어합니다. 이 경우 사용자는 개인 키/복구 문구와 Owner/Active 권한을 모두 가지고 있지만 자신의 자산을 이전할 수 없습니다. 사용자가 자산 출금 요청을 할 때, 사용자와 해커의 주소 모두 서명해야 정상적으로 거래가 실행됩니다.

또 다른 경우는 해커가 TRON의 권한 관리 설계 메커니즘을 이용하여 직접 사용자의 Owner/Active 권한을 해커 주소로 이전하여 사용자가 Owner/Active 권한을 잃게 만드는 것입니다.

위의 두 가지 경우가 초래하는 결과는 동일합니다. 사용자가 Owner/Active 권한을 여전히 가지고 있는지 여부에 관계없이 해당 계정에 대한 실제 제어권을 잃게 되며, 해커 주소는 계정의 최고 권한을 얻어 계정 권한 변경, 자산 이전 등의 작업을 수행할 수 있습니다.

이 시나리오에서 OKX Web3 지갑의 차단 기능은 어떻게 작용합니까?

OKX Web3 지갑은 서명 대기 거래를 사전 분석하여, 분석 결과 거래 내에 계정 권한 변경 행동이 발견되면, 사용자에게 거래를 직접 차단하여 사용자가 추가 서명을 하지 못하도록 근본적으로 방지합니다.

이 위험이 매우 높기 때문에 현재 OKX Web3 지갑은 직접 차단하여 사용자가 추가 거래를 수행하지 못하도록 하고 있습니다.

3. 악의적 송금 주소 변경

악의적 송금 주소 변경의 위험 거래 시나리오는 주로 DApp 계약 설계가 불완전한 경우에 발생합니다.

3월 5일, @CyversAlerts는 0xae7ab로 시작하는 주소가 EigenLayer에서 4개의 stETH를 수신하고, 계약이 14,199.57 달러에 달하며, 피싱 공격을 당했을 가능성이 있다고 모니터링했습니다. 동시에 그는 현재 여러 피해자가 메인넷에서 "queueWithdrawal" 피싱 거래에 서명했다고 지적했습니다.

Angel Drainer는 이더리움 스테이킹의 특성을 겨냥하여, 거래 승인 방식이 일반 ERC20 "승인" 방법과 다르며, EigenLayer Strategy Manager 계약의 queueWithdrawal (0xf123991e) 함수에 대해 특별히 작성된 이용을 하고 있습니다. 공격의 핵심은 "queueWithdrawal" 거래에 서명한 사용자가 실제로 악의적인 "인출자"가 지갑의 스테이킹 보상을 EigenLayer 프로토콜에서 공격자가 선택한 주소로 인출하도록 승인하는 것입니다. 간단히 말해, 피싱 웹사이트에서 거래를 승인하면 EigenLayer에 스테이킹한 보상은 공격자에게 속하게 됩니다.

악의적 공격을 탐지하기 어렵게 만들기 위해, 공격자는 "CREATE2" 메커니즘을 사용하여 이러한 인출을 빈 주소로 승인합니다. 이는 새로운 승인 방법이기 때문에 대부분의 보안 제공업체나 내부 보안 도구는 이 승인 유형을 분석하고 검증하지 않으며, 대부분의 경우 이를 양성 거래로 표시합니다.

올해 들어 이러한 사례가 발생했으며, 일부 주요 공공 블록체인 생태계에서 설계가 불완전한 계약의 결함으로 인해 일부 사용자의 송금 주소가 악의적으로 변경되어 자산 손실 문제가 발생했습니다.

이 시나리오에서 OKX Web3 지갑의 차단 기능은 어떻게 작용합니까?

EigenLayer의 피싱 공격 시나리오에 대해, OKX Web3 지갑은 "queueWithdrawal" 관련 거래를 분석하여, 사용자가 비공식 웹사이트에서 거래하고, 비사용자 자신의 주소로 인출할 경우 사용자에게 경고를 제공하고, 사용자가 추가 확인을 강제하여 피싱 공격을 방지합니다.

4. 유사 주소 송금

유사 주소 송금의 공격 방식은 피해자가 자신의 실제 주소와 매우 유사한 가짜 주소를 사용하도록 속여 자금을 공격자의 계좌로 이전하게 만드는 것입니다. 이러한 공격은 일반적으로 복잡한 혼동 및 은폐 기술과 함께 발생하며, 공격자는 여러 지갑과 크로스 체인 이전 등의 방법을 사용하여 추적 난이도를 증가시킵니다.

5월 3일, 한 거대 고래가 동일한 시작 및 끝 번호 주소 피싱 공격을 당해 1155개의 WBTC를 잃었으며, 이는 약 7000만 달러에 해당합니다.

이 공격의 논리는 해커가 미리 대량의 피싱 주소를 생성하고, 분산 배포된 대량 프로그램 후, 체인 상의 사용자 동적에 따라 목표 송금 주소에 동일한 시작 및 끝 번호 주소 피싱 공격을 시작하는 것입니다. 이번 사건에서 해커는 0x를 제거한 후의 처음 4자리 및 마지막 6자리가 피해자의 목표 송금 주소와 일치하는 주소를 사용했습니다. 사용자가 송금한 후, 해커는 즉시 충돌하여 생성된 피싱 주소(약 3분 후)를 따라 거래를 수행하여(피싱 주소가 사용자 주소로 0 ETH를 송금함) 피싱 주소가 사용자의 거래 기록에 나타나게 했습니다.

사용자는 지갑의 거래 기록에서 최근 송금 정보를 복사하는 습관이 있기 때문에, 이 후속 피싱 거래를 보고 복사한 주소가 올바른지 자세히 확인하지 않아 1155개의 WBTC를 피싱 주소로 잘못 송금하게 되었습니다.

이 시나리오에서 OKX Web3 지갑의 차단 기능은 어떻게 작용합니까?

OKX Web3 지갑은 체인 상의 거래를 지속적으로 모니터링하여, 대규모 거래가 발생한 직후 비사용자가 자발적으로 트리거하지 않은 의심스러운 거래가 발생하고, 의심스러운 거래의 상호작용 당사자가 대규모 거래의 상호작용 당사자와 매우 유사할 경우, 의심스러운 거래의 상호작용 당사자를 유사 주소로 판단합니다.

사용자가 이후 유사 주소와 상호작용할 경우, OKX Web3는 차단 알림을 제공하며, 거래 기록 페이지에서 유사 주소와 관련된 거래를 직접 표시하여 사용자가 유도되어 붙여넣는 것을 방지하여 자산 손실을 초래하지 않도록 합니다. (현재 8개 체인을 지원합니다)

결론

전반적으로 2024년 상반기에는 에어드랍 피싱 이메일과 프로젝트 공식 계정 해킹 등의 보안 사건이 여전히 빈발하고 있습니다. 사용자는 이러한 에어드랍과 활동이 가져다주는 수익을 즐기는 동시에 전례 없는 보안 위험에 직면하고 있습니다. 해커는 공식 피싱 이메일, 가짜 주소 등의 수단을 통해 사용자를 유인하여 개인 키를 유출하거나 악의적인 송금을 하도록 유도합니다. 또한 일부 프로젝트 공식 계정도 해커의 공격을 받아 사용자 자산 손실이 발생했습니다. 일반 사용자에게 있어 이러한 환경에서는 방어 의식을 높이고 보안 지식을 깊이 배우는 것이 가장 중요합니다. 동시에 가능한 한 신뢰할 수 있는 플랫폼을 선택하는 것이 좋습니다.

위험 경고 및 면책 조항

본 기사는 참고용으로만 제공됩니다. 본 문서는 저자의 의견을 나타내며 OKX의 입장을 대변하지 않습니다. 본 문서는 (i) 투자 조언 또는 투자 추천을 제공할 의도가 없으며; (ii) 디지털 자산의 구매, 판매 또는 보유에 대한 제안이나 유인; (iii) 재무, 회계, 법률 또는 세무 조언을 제공할 의도가 없습니다. 우리는 이러한 정보의 정확성, 완전성 또는 유용성을 보장하지 않습니다. 보유 중인 디지털 자산(스테이블 코인 및 NFT 포함)은 높은 위험을 수반하며, 큰 변동성을 겪을 수 있습니다. 귀하는 귀하의 재정 상황에 따라 거래 또는 디지털 자산 보유가 귀하에게 적합한지 신중하게 고려해야 합니다. 귀하의 특정 상황에 대해서는 법률/세무/투자 전문가에게 상담하시기 바랍니다. 귀하는 현지의 관련 법률 및 규정을 이해하고 준수할 책임이 있습니다.