Back to Blog

Web3에서 피싱 사기로부터 자산 보호하기

MetaSleuth
December 14, 2023
4 min read

Web3에서 피싱이란 무엇인가?

사용자들이 블록체인 거래를 통해 토큰 거래에 참여함에 따라, 새로운 형태의 피싱 사기가 등장했습니다. 피해자로부터 개인 정보나 금융 정보를 탈취하는 데 초점을 맞춘 기존의 피싱 사기와 달리, 이 특정 피싱 방법은 거래를 악용하여 사용자의 자산을 훔치는 것을 목표로 합니다. 본질적으로, 사기꾼들은 피해자를 속여 피해자의 토큰을 출금할 수 있는 거래 또는 메시지에 서명하게 만듭니다. 다음 섹션에서는 Web3의 다양한 피싱 사기 유형을 자세히 살펴보고, 이로부터 자산을 보호하기 위한 실용적인 전략을 습득할 것입니다.

Web3에서 만연한 피싱 사기 유형

1. 직접 토큰 전송

이 사기는 사용자를 조종하여 악성 주소로 직접 자산을 전송하게 만듭니다. 이러한 사기의 성공은 종종 정교한 사회공학적 기술에 의존합니다. 일반적인 변형 사례로는 "보안 업데이트" 또는 "클레임"을 빌미로 사용자를 속여 거래에 서명하게 만들어 결국 자산을 탈취하는 방식이 있습니다. 이 유형의 사기는 일반적으로 가짜 인터페이스 사기를 활용하여 실행됩니다.

2. 토큰 승인 / 허가

승인 및 허가 방법은 지출자(spender)라고 알려진 다른 사람이 사용자를 대신하여 토큰을 사용할 수 있도록 허용합니다. 사용자가 거래 활동을 촉진하기 위해 DApp에 토큰 승인을 부여하는 것은 일반적인 관행입니다. 그러나 피싱 주소와 같은 악의적인 행위자에게 승인을 부여하면 금전적 손실로 이어질 수 있습니다. 피해자가 승인을 인지하지 못하고 취소하지 않으면, 피싱 공격이 장기간 지속될 수 있습니다.

공격 트랜잭션 예시

3. 공격 트랜잭션 예시

제로값 전송 사기는 "포이즈닝(poisoning)"이라고도 알려져 있으며, 피셔가 피해자의 주소에서 피해자가 이전에 상호작용한 합법적인 주소와 유사한 피싱 주소로 제로값 전송을 조작할 때 발생합니다. 이 기만적인 전술은 피해자가 실수로 이러한 피싱 주소로 자금을 전송하도록 유도하여 상당한 자산 손실을 초래하는 것을 목표로 합니다.

피해자 주소 예시

4. 가스 토큰 사기

바이낸스 스마트 체인(BSC)에서 일부 피셔들은 에어드롭 사기를 사용하여 피해자에게 사기성 토큰을 배포하고 이 토큰을 승인하거나 전송하도록 설득합니다. 안타깝게도, 피해자들은 이러한 사기 토큰과 상호작용할 때 자신도 모르게 상당한 수수료를 부담하게 됩니다. 이 수수료는 사기꾼의 주소로 가스 토큰을 발행하는 데 사용되며, 이후 이익을 위해 교환됩니다.

피싱 트랜잭션 예시

5. NFT 마켓 사기

NFT는 독특한 형태의 가상 자산입니다. 동일한 컬렉션의 NFT 가격은 상당한 편차를 보이므로, 탈중앙화 거래소(Dex)를 통한 자동 거래가 현실적으로 어렵습니다. 그 결과, NFT 마켓이 등장하여 사용자들이 더욱 용이한 방식으로 주문을 넣고 구매할 수 있는 플랫폼을 제공하고 있습니다. 그러나 사기꾼들은 악성 주문을 생성하여 이러한 마켓을 악용하고 피해자의 NFT를 훔칩니다.

피싱 트랜잭션 예시

6. 가짜 인터페이스 사기

사용자들은 컨트랙트 인터페이스 호출을 통해 DApp과 같은 온체인 컨트랙트와 상호작용합니다. 사용자의 이해를 돕기 위해, 이러한 인터페이스는 일반적으로 메서드 이름의 형태로 제공됩니다. 그러나 메서드 이름이 항상 해당 메서드의 구체적인 구현을 정확하게 나타내지는 않는다는 점에 유의해야 합니다. 예를 들어, "SecurityUpdate"라는 이름의 메서드가 반드시 보안 업그레이드를 포함하는 것이 아니라, 오히려 호출자의 자산 전송을 포함할 수도 있습니다.

피싱 트랜잭션 예시

Web3에서 피싱으로부터 안전하게 지내는 방법

  • 신뢰할 수 없는 출처의 의심스러운 웹사이트 방문을 피하고, 지갑 연결이 필요한 사이트에는 각별히 주의하세요. 많은 지갑 및 익스플로러 확장 프로그램이 피싱 웹사이트를 경고해 줄 수 있습니다. MetaMask와 같은 도구가 도움이 될 수 있습니다.

  • EOA 및 컨트랙트를 포함하여 상호작용하는 주소를 반드시 재확인하세요. 주소의 앞뒤 몇 글자가 익숙하다고 해서 올바른 주소라고 가정하지 마세요. 처음 상호작용하는 주소의 경우, AvengerDAO의 위험 스캐너 및 MetaDock과 같은 도구를 사용하여 위험성을 확인하세요.

  • 토큰 허용량을 정기적으로 확인하고 취소하세요. 이를 도와주는 많은 도구들이 있습니다. 예를 들어, MetaDock은 블록체인 익스플로러의 토큰 승인 관리 기능을 개선하여 사용자가 위험한 승인을 식별할 수 있도록 돕는 브라우저 확장 프로그램입니다.

  • 여러 개의 지갑을 사용하고 자산을 분산하여 보관하세요. 일상적인 사용을 위한 핫 월렛에는 필요한 자산만 보관하세요. 대부분의 자산은 하드웨어 지갑과 같은 보다 안전한 콜드 월렛에 보관하세요.

MetaSleuth 소개

MetaSleuth는 BlockSec이 개발한 종합 플랫폼으로, 사용자가 모든 암호화폐 활동을 효과적으로 추적하고 조사할 수 있도록 지원합니다. MetaSleuth를 통해 사용자는 자금을 쉽게 추적하고, 자금 흐름을 시각화하며, 실시간 자금 이동을 모니터링하고, 중요한 정보를 저장하며, 발견한 내용을 다른 사람들과 공유하여 협업할 수 있습니다. 현재 비트코인(BTC), 이더리움(ETH), 트론(TRX), 폴리곤(MATIC) 등 13개의 서로 다른 블록체인을 지원합니다.

Website: https://metasleuth.io/

Twitter: @MetaSleuth

Telegram: https://t.me/MetaSleuthTeam

Go Deeper with MetaSleuth Investigation

Extend your crypto compliance capabilities with Blocksec's MetaSleuth Investigation, the first platform for tracing funds, mapping transaction networks and revealing hidden on-chain relationships.

Move from detection to resolution faster with clear visual insights and evidence-ready workflows across the digital assets ecosystem.

MetaSleuth Investigation