Home » 암호화폐 »

지갑을 비우는 것들에 대한 설명: 지갑을 비우는 것들과 지갑을 안전하게 지키는 방법

암호화폐 지갑을 비우는 방법과 안전 수칙을 알아보세요.

월렛 드레이너란 무엇인가요?

월렛 드레이너는 사용자의 암호화폐 지갑에서 암호화폐나 NFT와 같은 디지털 자산을 직접 훔치도록 설계된 악성 소프트웨어 또는 스크립트입니다. 이러한 공격은 종종 사기성으로 사용자를 속여 거래를 승인하게 하고, 공격자는 이를 통해 지갑에 있는 자금이나 토큰에 대한 모든 권한을 얻습니다. 거래소나 중앙 집중식 플랫폼을 침해하는 기존 해킹과 달리, 월렛 드레이너는 블록체인 기술의 기반이 되는 매우 분산화된 메커니즘을 악용합니다.

월렛 드레이너는 MetaMask와 같은 인기 브라우저 확장 프로그램, 모바일 지갑, 심지어 온라인에서 사용되는 하드웨어 지갑을 포함한 모든 소프트웨어 기반 암호화폐 지갑을 공격할 수 있습니다. 이러한 공격은 일반적으로 스마트 계약 권한, 피싱 사이트 또는 악의적으로 제작된 토큰을 악용합니다. 이러한 토큰과 상호 작용하면 위협 행위자가 토큰 배출 명령을 실행할 수 있습니다.

월렛 드레인 공격자의 일반적인 특징

  • 토큰 승인 익스플로잇: 악의적인 행위자는 사용자를 유인하여 토큰 허용량을 승인하도록 유도합니다. 이를 통해 공격자는 피해자의 토큰을 사용하거나 이체할 권한을 얻습니다.
  • 가짜 인터페이스: 사기꾼은 사용자가 자신도 모르게 악성 거래에 서명하는 합법적인 웹사이트나 DeFi 플랫폼을 모방하는 경우가 많습니다.
  • 모호한 프롬프트: 많은 월렛 드레인 공격자는 모호한 거래 메모 또는 기능이 불분명한 광범위한 계약 호출을 사용하여 사용자가 "승인"을 클릭하도록 속입니다.
  • 검증되지 않은 스마트 계약: 드레인 공격자는 스마트 계약을 통해 작동하는 경우가 많습니다. 제3자 보안 감사를 거치지 않은 지갑입니다.

지갑 드레이너 공격 유형

  • 피싱 공격: 공격자는 사용자가 자신도 모르게 지갑을 승인하도록 유도하기 위해 유사한 웹사이트나 소셜 프로필을 만듭니다.
  • 악성 에어드랍: 가짜 토큰이나 NFT를 지갑으로 전송하여 사용자 상호 작용을 유도하고, 자신도 모르게 드레이너 스크립트를 실행합니다.
  • 디스코드 및 트위터 사기: 소셜 미디어 채널에 공유된 링크는 경품이나 독점 NFT와 같은 인센티브를 제공한다고 주장하지만 지갑 접근 권한을 요구합니다.

지갑 드레이너에서 스마트 계약의 역할

스마트 계약은 DeFi 거래를 용이하게 하지만 공격자가 무기화할 수도 있습니다. 지갑 배수 공격자가 악용하는 주요 취약점은 ERC-20 토큰 표준, 특히 '승인' 기능에 있습니다. 사용자가 악의적인 행위자의 계약을 승인하면 토큰 전송 권한이 부여되며, 이는 종종 제한 없이 이루어집니다.

해커는 이러한 계약에 백도어를 미리 설치하기도 합니다. 배수 공격이 실행되면 자산이 유출되어 최소한의 흔적만 남습니다. 이러한 공격은 사용자의 개인 키에 대한 통제권을 반드시 필요로 하지 않기 때문에 탐지 및 예방이 더욱 복잡해집니다.

월렛 드레이너 단계별 분석

월렛 드레이너의 작동 방식을 이해하는 것은 피해를 예방하는 데 필수적입니다. 이러한 악용 과정은 일반적으로 사회 공학, 기술적 취약성, 그리고 스마트 계약과 상호 작용할 때 사용자의 주의 부족이 복합적으로 작용하여 발생합니다. 다음은 일반적인 드레이너 수법의 단계별 개요입니다.

1단계: 사회 공학 및 유인

사이버 범죄자는 사용자를 인기 있는 DeFi 플랫폼, NFT 마켓플레이스 또는 경품 행사를 모방한 사기성 웹사이트로 유도하여 공격을 시작합니다. 이러한 링크는 피싱 이메일, 가짜 소셜 미디어 게시물 또는 손상된 Discord 채널을 통해 배포됩니다. 목표는 사용자가 합법적인 것처럼 보이지만 공격자가 제어하는 ​​인터페이스와 상호 작용하도록 유도하는 것입니다.

2단계: 지갑 접근 권한 획득

비밀번호 도용과 달리, 지갑 드레이너는 개인 키에 직접 접근할 필요가 없습니다. 대신 권한 기반 권한 부여에 의존합니다. 사용자가 지갑을 악성 사이트에 연결하면 드레이너는 거래 승인을 요청합니다. 이러한 승인에는 지갑 내 토큰에 대한 전체 접근 권한 또는 공격자가 나중에 자금을 인출할 수 있도록 하는 스마트 계약 상호 작용 권한이 포함될 수 있습니다.

3단계: 토큰 허용량 조작

흔한 전술은 토큰 허용량을 조작하는 것입니다. 공격자는 사용자가 토큰 스마트 계약의 무제한 사용에 대한 승인을 받도록 함으로써 피해자와의 추가 상호 작용 없이 토큰 전송을 시작할 수 있습니다. 이 방법은 사용자가 지갑 인터페이스에서 요청될 때 거래 세부 정보를 확인하지 못하는 경우가 많기 때문에 매우 효과적입니다.

4단계: 자동 자산 유출

접근 또는 권한이 부여되면 자동화된 스크립트가 지갑에서 공격자 소유 주소로 토큰을 전송합니다. 대부분의 유출 도구는 정교함에 따라 자금을 개인 정보 보호 토큰으로 교환하거나 체인을 통해 연결하여 흔적을 감추고 복구 작업을 더욱 복잡하게 만듭니다.

5단계: 증거 삭제 및 난독화

전문적인 지갑 유출 도구는 도난당한 자금을 세탁하기 위해 코인 텀블러 또는 개인 정보 교환과 통합되는 경우가 많습니다. 온체인 도구를 사용하면 지갑 상호작용을 위장하고 자금을 혼합하여 당국이나 포렌식 도구를 피하고 분산화를 활용할 수 있습니다.

지갑 배수 공격의 실제 사례

  • 몽키 배수 공격: 바이럴 NFT와 디스코드 FOMO(공포심) 전략을 활용하여 피해자를 유인하는 잘 알려진 서비스형 악성코드 지갑 배수 공격입니다. 오프라인으로 전환되기 전에 수백만 달러의 손실을 초래했습니다.
  • 인페르노 드레인: 다크넷 포럼에서 판매되는 스크립트로, 확장 가능한 도난 기능을 제공하며 가짜 dApp과 피싱을 통해 ERC-20 토큰, NFT, 래핑된 자산을 표적으로 삼습니다.

공격 벡터 및 사용 기술

  • WalletConnect 익스플로잇: 가짜 dApp이 WalletConnect QR 코드를 통해 권한을 요청하여 모바일 지갑 사용자를 오도합니다.
  • DNS 하이재킹: 해커는 합법적인 사이트의 DNS를 침해하여 트래픽을 악성 복제본으로 리디렉션합니다.
  • 플래시 론 드레인: 플래시 론과 함께 사용되는 정교한 스크립트로, 권한을 획득하면 대량의 자금을 이동시킵니다.

각 기술은 암호화를 해독하는 것이 아니라 액세스 권한을 얻는 것을 목표로 하므로 이는 시스템 업데이트보다 사용자의 주의가 더 필요한 사회적-기술적 혼합 위협입니다.

암호화폐는 24시간 연중무휴 운영되는 탈중앙화를 통해 높은 수익률 잠재력과 더 큰 재정적 자유를 제공합니다. 그러나 극심한 변동성과 규제 부재로 인해 고위험 자산입니다. 주요 위험으로는 급격한 손실과 사이버 보안 실패가 있습니다. 성공의 열쇠는 명확한 전략과 재정적 안정성을 저해하지 않는 자본으로 투자하는 것입니다.

암호화폐는 24시간 연중무휴 운영되는 탈중앙화를 통해 높은 수익률 잠재력과 더 큰 재정적 자유를 제공합니다. 그러나 극심한 변동성과 규제 부재로 인해 고위험 자산입니다. 주요 위험으로는 급격한 손실과 사이버 보안 실패가 있습니다. 성공의 열쇠는 명확한 전략과 재정적 안정성을 저해하지 않는 자본으로 투자하는 것입니다.

암호화폐 지갑 보호 방법

지갑 고갈을 방지하려면 인식, 기술, 그리고 모범 사례를 결합한 다층적인 접근 방식이 필요합니다. 블록체인 거래는 되돌릴 수 없지만, 사용자는 선제적 조치, 신중한 행동, 그리고 보안 강화를 통해 위험을 완화할 수 있습니다.

1. 항상 URL과 dApp을 확인하세요.

지갑을 연결하기 전에 웹사이트의 도메인 이름을 확인하세요. HTTPS 인증서와 사용자 피드백을 확인하세요. 신뢰할 수 있는 인플루언서나 커뮤니티 관리자가 보낸 것처럼 보이는 소셜 미디어 링크는 클릭하지 마세요. 합법적인 플랫폼은 북마크에 추가하고 해당 링크만 사용하는 것이 좋습니다.

2. 신뢰할 수 있는 지갑과 확장 프로그램 사용

강력한 업데이트 정책과 사용자 권한 프롬프트를 제공하는 MetaMask, Trust Wallet, Ledger와 같은 지갑을 선택하세요. 사용자 지정 토큰을 추가하거나 실험적인 탈중앙화 애플리케이션(dApp)에 연결할 때는 주의하세요. 항상 검증된 원본 저장소에서 지갑을 설치하세요.

3. 토큰 승인 관리

다음과 같은 플랫폼을 사용하여 스마트 계약 권한을 주기적으로 검토하고 취소하세요.

토큰 허용량을 고정 금액 또는 신뢰할 수 있는 애플리케이션으로 제한하는 것도 노출을 줄이는 데 도움이 됩니다.

4. 고급 지갑 보안 솔루션 활성화

Ledger Nano S/X 또는 Trezor와 같은 하드웨어 지갑은 물리적 보안 계층을 추가합니다. 온라인에 연결되어 있어도 물리적 버튼을 누르지 않고는 자산을 이동할 수 없습니다. 피싱 방지 문구, 생체 인증(모바일), 지갑 설정에서 시간 초과 잠금 기능을 활성화하는 것을 고려해 보세요.

5. 블라인드 거래에 절대 서명하지 마세요.

지갑을 갉아먹는 주요 진입점 중 하나는 모호하거나 복잡한 거래입니다. 확인하는 내용을 명확하게 이해하지 못하면 진행하지 마세요. SimpleSignerEtherscan과 같은 플랫폼을 사용하면 상호 작용 전에 스마트 계약을 수동으로 검사할 수 있습니다.

6. 정기적으로 교육하세요.

보안 중심 텔레그램 그룹에 가입하고, 트위터(X)에서 사이버 보안 전문가를 팔로우하고, 지갑 제공업체의 공식 알림을 계속 확인하세요. 악성코드 전술이 진화함에 따라 교육이 최전선 방어선입니다.

7. 대규모 자산 보유 시 다중 서명 지갑 사용

고가 포트폴리오 또는 기관 자산의 경우, Gnosis Safe와 같은 다중 서명 지갑은 거래를 실행하기 전에 여러 키의 승인을 요구합니다. 이 메커니즘은 단일 장애점 유출 시도를 방지합니다.

8. 에어드랍 및 NFT 사용 시 주의하세요.

지갑에 있는 원치 않는 토큰이나 NFT에는 함정이 있을 수 있습니다. 출처를 확인하기 전까지는 이러한 토큰이나 NFT와 상호 작용하거나 전송하지 마십시오. 단순히 보유하는 것은 일반적으로 무해하지만, 전송 또는 승인을 시도하면 악성 코드가 실행될 수 있습니다.

결론

지갑 유출은 탈중앙화 금융 생태계에서 명백하고 현존하는 위험입니다. 이러한 공격의 기술은 정교하지만, 대부분의 성공은 사용자의 감독 부족으로 인해 발생합니다. 강력한 보안 관행을 구현하고, 원치 않는 메시지나 상호작용에 대해 경계하며, 지갑 보안을 정기적으로 유지함으로써 사용자는 피해자가 될 위험을 크게 줄일 수 있습니다.

궁극적으로 최선의 방어책은 경계입니다. 지갑 드레이너가 무엇이고, 어떻게 작동하는지, 그리고 접근을 차단하는 데 사용할 수 있는 도구를 이해하면 사용자는 디지털 자산을 안전하게 관리할 수 있습니다.

지금 투자하세요 >>