가짜 지갑 주소를 식별하는 방법? 콜드 지갑이 여전히 해킹당할 위험이 있는 이유는? 이러한 공격은 어떻게 발생합니까? 어떤 사람들이 해커의 표적이 됩니까? 이러한 문제를 피하는 방법은 무엇입니까?
최근 Web3는 자주 코인 도난을 경험했는데, 특히 1,155 WBTC 도난 사건이 주목을 끌었습니다. 암호화된 자산의 보호도 모든 사람의 관심의 초점이 되었습니다. 이 사건에 대응하여 PoPP와 OneKey는 공동으로 온체인 보안에 대한 커뮤니티 이슈를 공유하는 공간을 개최했는데, 여기에는 실용적인 정보가 가득했고 예방에 대한 인식이 부족한 신규 사용자에게 인기 있는 과학 수업이 제공되었습니다.
손님:
- PoPP CTO: Neo
- OneKey Eco 헤드: Cavin
호스트 : JY
이 공간에서는 주로 다음 문제를 논의합니다.
1. 가짜 지갑 주소를 식별하는 방법은?
2. 암호화폐를 거래소에 보관하는 것과 지갑에 보관하는 것 중 어느 것이 더 안전한가요?
3. 콜드 월렛이 여전히 해킹 위험에 처해 있는 이유는 무엇입니까? 이러한 공격은 어떻게 발생합니까?
4. 해커의 표적이 되는 사람은 어떤 사람들인가요? 거래 함정을 피하는 방법/경험을 공유하세요?
5. 현재 PoPP는 많은 사용자를 유치하고 있습니다. 자산 보안을 어떻게 보장합니까?
1. 가짜 지갑 주소를 식별하는 방법은?
가짜 지갑 주소를 식별하는 방법에 대해 Cavin은 두 가지 방법을 언급했습니다. 첫 번째는 위조를 피하기 위해 돈을 이체할 때 모든 숫자와 문자를 주의 깊게 확인하는 것입니다. 두 번째는 OKX와 OneKey Classic을 포함하여 현재 주류 소프트웨어 지갑에는 이 주소 라이브러리 기능이 있습니다. 자주 사용하는 주소를 이 주소 라이브러리에 넣어 올바른 주소를 빠르게 선택할 수 있습니다. 돈을 이체하기 전에 환경이 안전한지 확인하고 거래 기록에서 주소를 복사하지 않도록 모두에게 상기시킵니다.
네오는 공유에서 다른 몇 가지 추가 사항을 만들었습니다. 네오는 핫 월렛을 전혀 믿지 않는 팀에 개발자를 공유했습니다. 그는 자신의 노드 월렛만 사용하여 모든 자금을 이체하고 미니 뱅크로 제어했습니다. 물론 우리와 같은 일반인은 이렇게 할 수 없습니다. 일반인은 다음 4가지 측면에서 예방 조치를 취할 수 있습니다.
- a. 첫째, 네트워크, VPN, 모바일 폰 및 컴퓨터 환경을 포함한 안전한 환경을 확보하십시오.
- b. 둘째, Apple 기기나 하드웨어 지갑과 같은 안전한 기기를 선택하세요.
- Apple 기기가 비교적 안전하다는 것은 의심의 여지가 없으며, 하드웨어 지갑도 있습니다. Android에 다른 소프트웨어를 설치해야 할 때는 주류 지갑 1~2개를 사용하는 것이 좋습니다. 니모닉을 자주 가져와야 하는 경우, 페이스트보드를 사용하지 마십시오. 모든 사람에게 지갑을 너무 많이 다운로드하지 말고 APP에서만 업데이트하도록 상기시켜 주십시오.
- c. 또한 거래를 확인하기 전에 작은 테스트 이체를 하는 좋은 습관을 키우세요. 상대방에게 코드를 스캔하여 돈을 이체하고 이체 전과 후에 서로 확인하는 것이 좋습니다.
- d. 마지막으로, 각 전송 후 블록체인 브라우저를 확인하여 전송 세부 정보를 확인하세요.
- 금액이 잘못되었거나 대상 주소가 잘못되었다고 판단되면 즉시 시정 조치를 취할 수 있습니다. 또한 이전 거래를 상쇄하기 위해 더 높은 가스 요금으로 즉시 새 거래를 시작할 수도 있습니다. 여전히 복구가 가능하지만 돈을 성공적으로 이체하거나 피싱 소프트웨어를 클릭하면 할 수 있는 일이 없을 수 있습니다.
2. 암호화폐를 거래소에 보관하는 것이 더 안전한가요, 아니면 지갑에 보관하는 것이 더 안전한가요?
호스트 JY:
Neo와 Cavin이 공유해줘서 고맙습니다. 질문을 하나 하고 싶은데, 거래소와 지갑 중 어느 것이 더 안전한가요?
캐빈:
보안 수준 관점에서 하드웨어 지갑은 가장 높은 보안 수준을 가지고 있습니다. 하드웨어 지갑을 사용하기 위한 임계값과 작동의 어려움은 핫 지갑보다 높지만 핫 지갑만큼 편리하지는 않습니다.
거래소와 핫 월렛은 덜 안전하지만 매우 실용적입니다. Binance나 OKX와 같은 신뢰할 수 있는 거래소에 자금의 일부를 넣는 것이 좋습니다. 단기적으로는 큰 문제가 없겠지만, 전적으로 신뢰할 수는 없습니다.
신뢰할 수 있는 거래소에 약간의 자금을 넣는 것이 좋지만 너무 많은 자금은 넣지 않는 것이 좋습니다. 흔하지 않은 프로토콜의 경우 새로운 핫 월렛을 사용하여 격리된 관리를 할 수 있습니다.
네오:
기술적 수준에서 안전은 항상 상대적입니다. 절대적인 안전은 없습니다. 비용 문제일 뿐입니다.
지갑:
지갑에 보관하고 인터넷에 접속하지 않는다면 비교적 안전합니다. 하지만 다른 dApp과 상호작용하고 자주 링크하면 보안 지수는 그 과정에서 계속 감소합니다.
교환:
크립토는 핫 월렛보다 거래소에서 비교적 안전합니다. 거래소에는 단일 실패 지점이 없습니다. 거래, 매수, 매도 또는 이체 시 자산을 잃지 않습니다. 그리고 거래소가 제공할 수 있는 이점은 보상 능력입니다. 거래소에서 돈을 잃어도 거래소가 보상해 줄 수 있습니다.
조정자 JY: 예를 들어, 제 지갑에는 많은 상호작용과 승인이 있습니다. NFT 판매를 완료하면 이전 승인을 취소할 수 있습니까?
캐빈: 네. 계약 승인이 취소되었는지 정기적으로 확인하는 습관이 없다면 위험이 점차 커질 것입니다.
3. 콜드 월렛이 여전히 해킹 위험에 처해 있는 이유는 무엇입니까? 이러한 공격은 어떻게 발생합니까?
호스트 JY:
알겠습니다. OKX에서 OKX 지갑으로 자금을 거래하다가 126만 USDT를 잃은 친구가 있었습니다. 직원은 2시간 동안 동결될 수 있다고 했지만, 그는 돈이 이전에 콜드 월렛에 있었다고 말했습니다. 콜드 월렛이 해킹당할 위험이 여전히 있는 이유는 무엇입니까? 이러한 공격은 어떻게 발생합니까?
캐빈:
저는 이것이 콜드 월렛과는 아무런 상관이 없다고 생각하고, 자금 이체 중에 문제가 발생할 수 있습니다. 하드웨어 월렛은 일반적으로 칩에 개인 키나 니모닉을 저장하여 보안을 보장합니다. 그러나 하드웨어 월렛을 사용할 때는 인터넷에 연결해야 하며 개인 키는 브라우저 캐시나 데이터 파일에 저장되므로 해커 공격에 취약합니다.
하드웨어 지갑은 소프트웨어 지갑과 함께 사용해야 합니다. 서명 프로세스는 하드웨어 지갑에서 완료되며, 개인 키는 인터넷에 절대 닿지 않습니다.
사실, 이 프로세스는 물리적 장치로 전송됩니다. 실제로 보안 칩(Secure)이 있습니다. 서명은 칩의 개인 키를 사용하여 완료됩니다. 서명 후 소프트웨어 지갑으로 서명을 전달합니다. 소프트웨어 지갑이 지갑을 얻은 후 체인으로 거래를 보냅니다. 따라서 인터넷에 연결하지 않고도 하드웨어 지갑에서 서명 프로세스가 완료됩니다.
하드웨어 지갑을 분실한 경우, 니모닉 문구를 새 하드웨어 지갑으로 가져오기만 하면 됩니다. 그러나 소셜 엔지니어링 공격의 위험이 있으며, 해커가 지갑 잠금 해제 코드를 얻어 자산을 훔칠 수 있습니다.
하드웨어 지갑의 설계 원칙은 보안을 강화하기 위해 거래 서명 프로세스 중에 두 번째 확인을 추가하는 것입니다. 공급망 공격과 내부 공격도 위험하므로 오픈 소스 하드웨어 지갑을 구매하는 것이 좋습니다. 하드웨어 지갑이 손상되지 않았는지 확인하는 전제 하에 하드웨어 지갑을 분실하더라도 자산은 여전히 안전합니다.
호스트 JY:
하드웨어 지갑은 온라인 서명이 필요하지만 100% 안전하지는 않습니다. 이런 상황을 최대한 피하려면 어떻게 해야 할까요? 다른 식별 방법이 있을까요?
캐빈:
OneKey 제품은 EAL 6+ 인증을 받았으며 매우 안전합니다. 해커가 하드웨어 지갑에서 개인 키를 내보내는 것은 어렵고, 무차별 대입 공격은 매우 어렵습니다. 소프트웨어 지갑은 네트워크 공격에 취약하며, 하드웨어 지갑은 이 프로세스를 격리할 수 있습니다.
네오:
보안은 상대적이며 개인 키 시스템에는 문제가 있습니다. 자산을 관리할 때는 주의하고 모든 자산을 저장하는 데 단일 장치에 의존하지 마십시오. 백업을 하고 겉보기에 안전해 보이는 장치는 신뢰하지 마십시오. 자산을 더 잘 관리하는 방법에 대한 솔루션을 제안하겠습니다.
4. 해커의 타겟이 되는 사람들은 어떤 사람들인가요? 어떤 조건을 충족해야 하나요?
진행자 JY: 해커의 표적이 되는 사람은 어떤 사람들인가요? 어떤 조건을 충족해야 하나요?
캐빈:
1,155 WBTC 사례에서 우리는 해커가 공격을 시작하기 전에 해시 충돌을 수행하고 주소를 시뮬레이션하여 넓은 그물을 던졌고 아마도 수만 개의 주소를 포함했을 것이라고 추측합니다. 해커의 습관적인 행동은 거래 회의 기록을 통해 찾을 수 있습니다. 사용자는 자금 관리, 다양한 시나리오에서 지갑 격리, 주소 권한 정기 확인 및 좋은 이체 거래 습관 개발을 포함한 보호 조치를 취해야 합니다.
네오:
해커는 피싱 링크를 삽입하여 인증 방법, 가상 전송 방법, 개인 키 훔치기 등의 방법으로 무차별적으로 자산을 훔칠 수 있습니다.
해커는 개인을 표적으로 삼을 수도 있습니다. 체인에 많은 자금이 있다는 것을 알게 되면 공격을 시작하고 소셜 메시지를 통해 몇 가지 링크를 보냅니다. 또는 USDT를 사라고 요청하고, 이메일을 보내고, 동료를 사칭하고, 여러 가지 다른 방법으로 훔칠 수도 있습니다. 그러니 누구도 믿지 말고 익숙하지 않은 링크를 클릭하지 않도록 주의하세요.
프로젝트 측에서 해커는 취약점과 공격을 위해 계약 주소를 표적으로 삼을 수 있습니다. 프로젝트 측은 사용자 자산을 감사하고 검증하는 일을 잘 해야 합니다. 또한 해커는 프로젝트 측의 고객 서비스 직원을 공격하고, 친구 추가, 메시지 전송 등을 통해 컴퓨터를 침입하고, 인트라넷 정보를 얻고 자산을 훔칠 가능성이 높습니다. 해커는 대규모 자산을 보유한 기업과 사용자를 대상으로 조직적이고 계획적인 침입을 할 가능성이 더 높습니다. 팀은 훈련을 받아야 하고 효과적인 예방 조치를 확립해야 합니다.
사용자 A가 질문을 했습니다.
피싱 및 링크 공격을 식별하고 예방하려면 어떻게 해야 하나요?
네오:
첫째, 모바일이나 PC에서 링크의 유효성이 확실하지 않을 때는 Google Chrome의 개인정보 보호 모드나 시크릿 모드를 이용하여 링크를 열 수 있습니다.
둘째, 컴퓨터에 소프트웨어를 설치해야 할 때는 CMC와 같은 컬렉션을 사용하는 것이 좋습니다. 개인 정보 보호 모드를 사용하여 프로젝트 Twitter 또는 집계 플랫폼의 공개 웹사이트에 액세스할 수 있습니다. 둘째, 빈 지갑 링크를 사용합니다. 육안으로 공식 주소를 식별합니다. 일반적으로 공식 도메인 이름은 그다지 복잡하지 않습니다.
캐빈:
추가: 보안 플러그인을 설치할 수도 있습니다. 둘째, Google에서 프로젝트 웹사이트를 검색하는 것은 권장되지 않습니다.
사용자 B가 질문을 합니다.
거래소에 암호화폐 자산이나 현물 상품을 보관하는 것이 안전할까요?
네오:
모든 거래소는 비교적 안전합니다. 어떤 거래소에 넣느냐에 따라 달라집니다. 일부 거래소는 보상을 지불할 수 있는 일정한 능력이 있습니다. 소량의 자산을 잃어도 바이낸스와 같이 보상을 해줄 수 있습니다. 그러나 계약에 있는 자산은 사라질 수 있습니다. 그 자리는 괜찮을 수 있습니다. 소규모 거래소가 도망가는 것은 정상적인 일이며, 소규모 거래소는 해커 공격을 견뎌내지 못하고 도난당할 수 있습니다. 보상 기능이 있는 주류 거래소에 넣는 것이 좋습니다.
5. 현재 PoPP는 많은 사용자를 유치하고 있습니다. 자산 보안을 어떻게 보장합니까?
호스트 JY: 현재 PoPP는 많은 사용자를 유치하고 있습니다. 자산 보안을 어떻게 보장합니까?
네오:
우리는 자산 보안을 최우선으로 생각합니다. 우리가 취한 몇 가지 주요 조치는 다음과 같습니다.
첫 번째는 전체 계정 시스템의 보안 관리입니다.
현재 MPC 방식으로 계정 시스템을 관리하고 있으며, 버전 2.0, 즉 Q2와 Q3에서 다시 업데이트할 예정입니다. 개인적으로 EOA 계정을 자산 관리 방법으로 사용하는 데는 특정 문제가 있다고 생각하므로 더 안전한 방법은 EUA 계정과 스마트 계약 계정을 최대한 활용하고 개인 키는 서명 목적으로만 사용하는 것입니다. 또한 자산과 운영을 분리하는 더 합리적인 방법입니다. 하드웨어 지갑과 소프트웨어 지갑은 개인 키의 보안을 개선할 수 있습니다. 스마트 계약에 자금의 보안을 두는 더 안전한 방법입니다. 계정 시스템에서는 MPC 솔루션을 사용하여 개인 키를 세 부분으로 나누어 보안을 강화합니다. (예를 들어, 자신의 개인 키가 유출되거나 플랫폼의 개인 키가 유출되면 서명 프로세스를 완료할 수 없습니다. 다른 부분은 보안 기관에 제공되기 때문입니다.)
스마트 계약 계정은 소셜 계정과 가상 계정으로 구분됩니다. 소셜 계정은 ERC-6551 프로토콜을 사용하여 소셜 자산을 저장하고 상호 작용 프로세스 중에 다중 서명 및 검증을 수행할 수 있습니다. (거래할 때 개인 키가 유출되면 전체 자산을 잃지 않고 개인 키를 변경할 수 있습니다.) 또 다른 인기 있는 ERC-4337 가상 계정입니다. 현재 사용 시나리오는 많지 않지만 가상 계정은 점차 계정 시스템을 지능적으로 만들 잠재적인 개발 추세입니다. 현재 우리는 주로 ERC-6551을 사용하여 소셜 계정의 스마트 계약화를 지원합니다.
두 번째는 상호작용 과정의 보안입니다.
우리는 상호작용 계층에서 더 많은 자산 손실이 발생하는 것을 알아챘으므로 PoPP 2.0에서 프로젝트 파티 정보에 액세스할 수 있는 소셜 플러그인을 출시할 것입니다. 상호작용할 때, 우리의 소셜 플러그인은 승인 수수료를 위해 화이트리스트에 추가해야 하는 프로젝트를 식별하고 조기 경고 메시지를 발행합니다. 또한, 내장된 DEID와 플러그인을 통해 우리는 사용자 자산과 소셜 ID 보안을 보호하기 위해 상호작용 프로세스에서 격리 계층을 제공합니다.
마지막으로, 저희의 AI 정보 소스: PoPP는 보안 프로젝트 당사자 및 데이터 당사자와 협력하여 사용자가 보안 정보를 얻을 수 있도록 허용 목록 및 차단 목록 정보를 공개합니다. 이 세 가지 수준을 통해 저희는 사용자 자산과 소셜 경험의 보안을 보장하는 데 전념합니다. 들어주셔서 감사합니다.
이 기사는 인터넷에서 발췌한 것입니다: 코인 도난 사고는 자주 발생합니다. 암호 자산 보호에 대해 무엇을 알아야 합니까?
관련: 펌프 PVP 매뉴얼: 낫과 리크가 상호 진화를 촉진합니다
원본 | Odaily Planet Daily 저자 | Nanzhi Pump.fun이 인기를 얻기 전에 Solana Meme 투자자는 대부분 보안상의 이유로 10u War Gods였으며, DEV와 같은 Rug 운영이 유동성을 제거하는 것을 방지했습니다. 3월에는 BOME과 SLERF의 영향을 받아 Solana에서 초대형 Meme 토큰 풀이 인기를 얻기 시작했지만, 전반적인 시장 침체와 폭주 사건 증가와 같은 요인으로 인해 다시 동결점에 도달했습니다. 그 후 Pump가 인수했습니다. 편리한 개설 방법과 안전한 토큰 보증으로 Meme 토큰이 Solana에서 다시 인기를 얻었습니다. 공격의 영향을 받아 Pump.fun은 7일간 수수료 없는 이벤트를 시작했습니다. Solana의 새로운 토큰 수는 계속해서 새로운 역사적 최고치를 기록했으며, 매일 20,000개 이상의 새로운 토큰이 추가되었습니다. 그러나…