암호화폐 지갑 피싱이란 무엇입니까? 가짜 웹사이트를 식별하는 방법

글로벌 금융이 분산형 프로토콜로 전환되면서 개인에게 자산 자율성의 전례 없는 이점이 제공되었습니다. 그러나 이와 함께 정교한 형태의 사이버 범죄가 갑자기 증가하고 있으며, 암호화폐 지갑을 대상으로 한 피싱 공격이 가장 위험한 위협 중 하나로 등장했습니다. Tan Phat Digital의 현 상황 분석에 따르면 암호화폐 피싱은 순수한 기술적 공격일 뿐만 아니라 사회 공학, 심리적 조작, 블록체인 작동 메커니즘의 무지를 통해 '인간의 취약성'을 악용하는 데 중점을 두고 있습니다. 기본적인 피싱 이메일에서 피해자의 자산을 단 몇 초 만에 지울 수 있는 완전 자동화된 "드레이너" 시스템으로의 진화입니다. 이러한 공격 벡터에 대한 깊은 이해는 Web3 공간에서 견고한 보안 전략을 구축하는 데 핵심입니다.

피싱의 기원과 진화: Web2에서 Web3의 세부 사항까지

'피싱'이라는 용어는 1987년에 '낚시(fishing)'와 '프리킹(phreaking)'의 합성어로 처음 기록되었습니다. 작동 원리는 미끼를 시뮬레이션합니다. 공격자는 피해자가 민감한 정보를 자발적으로 제공하도록 유인하기 위해 가짜이지만 평판이 좋은 개체를 만듭니다. 인터넷 초기 단계의 주요 목표는 기존 은행 로그인 정보를 수집하는 것이었습니다. 그러나 비트코인과 이더리움의 출현으로 피싱 캠페인의 성격이 완전히 바뀌었습니다.

기존 금융 환경에서는 사기 거래를 신속하게 신고하면 되돌릴 수 있는 경우가 많습니다. 이에 비해 블록체인의 기본 특징은 불변성이다. 거래가 인증되면 어떤 주체도 손실된 자금을 복구할 수 없습니다. 이로 인해 개인 키와 시드 문구가 주요 대상이 됩니다. 피싱의 진화는 Web3 인터페이스의 복잡성에 의해 주도됩니다. 인증이 종종 혼란스러워서 "아이스 피싱" 기술이 번성할 수 있습니다.

자세히 보기: 암호화폐란 무엇입니까? 지갑? 알아야 할 상위 9개 비트코인 지갑

현대 암호화폐 피싱 공격 시스템 분류

현재 피싱 방법 시스템은 사용자가 쉽게 식별할 수 있도록 Tan Phat Digital이 아래에 정리한 여러 전문 기술로 나누어져 있습니다.

소셜 기반 위조 형태 엔지니어링

• 이메일 피싱: 공격자는 Binance, MetaMask 또는 Trust Wallet과 같은 평판이 좋은 조직을 사칭하여 대량 이메일을 보냅니다. 식별자는 "보안 업그레이드", "KYC 확인" 또는 "계정 잠김"과 같은 긴급 요청입니다.

• 웨일링:특히 임원이나 자산이 많은 사람을 대상으로 합니다. 그들은 수집된 개인 정보를 사용하여 허위 법적 신고와 같은 고도로 개인화된 피싱 시나리오를 만듭니다.

• 스미싱 및 비싱: 사기 행위를 위해 SMS 메시지나 전화 통화를 사용합니다. 종종 비정상적인 거래에 대해 알리고 "방지"하기 위해 OTP 코드나 복구 문구를 요청합니다.

• 소셜 미디어 피싱: KOL 또는 암호화폐 프로젝트의 가짜 소셜 네트워크 계정을 사용하여 경품 프로그램이나 가짜 에어드롭 링크를 홍보합니다. 게시물에는 웹사이트 드레이너에 대한 단축 링크가 함께 제공되는 경우가 많습니다.

블록체인 관련 기술적 공격 유형

• 아이스 피싱: 공격자가 사용자를 속여 승인 대신 approve() 또는 setApprovalForAll() 권한에 서명하도록 유도하는 Web3 변종입니다. 개인 키를 훔치는 것. 일단 서명되면 공격자는 추가 상호 작용 없이 모든 토큰을 인출할 수 있습니다.

• 주소 중독: 첫 번째와 마지막 문자가 피해자의 주소와 동일한 지갑 주소를 사용하여 소량의 토큰을 보냅니다. 목적은 피해자가 후속 송금 주문을 위해 거래 내역에서 이 주소를 실수로 복사하도록 속이는 것입니다.

• 클립보드 하이재킹: 악성 코드는 캐시를 모니터링하고 사용자가 복사 명령을 실행할 때 지갑 주소를 자동으로 바꿉니다.

• Evil Twin Phishing:대규모 이벤트에서 가짜 Wi-Fi 네트워크를 설정하여 사용자가 피싱 웹사이트로 리디렉션되도록 합니다. 연결하세요.

자세히 보기: 러그 풀(Rug Pull)이란 무엇인가요? 암호화폐 사기 방지 가이드

기술적 분석: 가짜 웹사이트 및 애플리케이션의 작동 방식

웹사이트 스푸핑 기술은 가장 효과적인 공격 벡터 중 하나입니다. 공격자는 metamask-support.io와 같은 Typosquatting 도메인을 등록하거나 라틴 문자와 똑같이 생긴 동형 문자를 사용하는 경우가 많습니다. Tan Phat Digital은 공격자가 쉽게 무료 SSL 인증서에 등록하여 전문적인 모습을 연출할 수 있기 때문에 현재 SSL 잠금 아이콘이 더 이상 안전을 보장하지 않는다는 점을 지적합니다.

월렛 드레이너의 구조는 다음과 같습니다.

1. 프런트엔드: 디자인은 원래 웹사이트와 99% 유사하며 모든 버튼은 연결 창을 활성화합니다. wallet.

2. C2(명령 및 제어) 서버: 블록체인 API를 통해 지갑 주소를 수집하고 잔액을 스캔합니다.

3. 자동 거래 생성 시스템: 표시할 거래 유형(ETH 전송 또는 토큰 승인)을 프런트엔드에 피드백합니다.

4. 시뮬레이션 회피 기술: 고급 드레이너는 다음을 수행할 수 있습니다. 시뮬레이션된 환경을 감지하여 "안전한" 결과를 보여주지만 실제 거래가 네트워크에 게시될 때만 실제로 악성코드를 활성화합니다.

피싱 에어드롭: 탐욕의 심리학 이용

에어드롭은 마케팅 도구일 뿐만 아니라 인기 있는 미끼이기도 합니다. 일반적인 사기 시나리오는 다음과 같습니다.

• 지갑의 이상한 토큰: 사용자는 설명에 웹사이트 주소가 포함된 이상한 토큰을 많이 보게 됩니다. "판매"에 접속 시 해당 웹사이트에 서명 접근 권한과 지갑 배수가 필요합니다.

• 가짜 광고: 12/24 복구 단어에 녹색 계정 사용.

• 선불 필수: 정품 경품은 항상 무료입니다. "검증 수수료"를 요구하는 것은 사기입니다.

• 비현실적인 이익 약속: 기부 없이 수천 달러를 받습니다.

• 긴급성: 시간 압박을 만들어 피해자가 신중하게 생각할 시간을 갖지 못하게 합니다.

현재 암호화폐 피싱 범죄 상황 분석 베트남

베트남은 사기꾼들의 온상이 되었습니다 Tan Phat Digital이 업데이트한 경보 수치:

• 2019~2024년 기간의 총 피해: 12조 VND(약 4억 9200만 달러에 해당) 이상을 기록했습니다.

• 온라인 사기 사건 수: 거의 20,000건에 달하는 사례가 보고되었습니다.

• 2024년 한 해에만 피해가 4조 2,000억 VND(약 1억 7,200만 달러)를 초과했습니다.

• Mr Pips 사건 피해자 수: 2,661명이 확인되었습니다.

• Mr Pips 사건에서 차단된 자산: 1억 7,200만 달러 이상 5조 2천억 VND.

'Mr Pips' 네트워크 또는 'Toptrade1' 플로어와 같은 일반적인 사례는 범죄자가 피싱과 다단계 모델을 결합하여 투자자를 유인하기 위해 수천 명의 직원으로 가짜 생태계를 구축하는 정교함을 보여줍니다.

주요 지갑 제공업체의 보안 지침

요약에 따르면 Tan Phat Digital, 사용자는 핵심 규칙을 준수해야 합니다:

• MetaMask: 공식 양식은 브라우저 확장 프로그램과 모바일 앱의 두 가지뿐입니다. MetaMask는 귀하가 적극적으로 지갑을 복원하지 않는 한 복구 문구를 요구하지 않습니다. 지원팀은 텔레그램이나 Discord를 통해 먼저 메시지를 보내지 않습니다.

• Trust Wallet: 보안 스캐너 기능을 사용하여 거래하기 전에 위험을 검색하세요. 분산형 지갑은 전화번호와 연결되어 있지 않으므로 절대로 SMS를 통한 확인 링크를 클릭하지 마세요.

효과적인 암호화폐 방지 피싱 도구 및 솔루션 시스템

보안 싸움에는 최신 기술의 지원이 필요합니다.

• Pocket Universe: 서명하기 전에 어떤 자산이 지갑에서 나갈지 정확하게 보여주는 거래 시뮬레이션입니다. 최대 2,000 USD까지 보험 가입 가능.

• Revoke.cash: 레거시 토큰 승인을 관리하고 취소하는 데 필수적인 도구.

• Wallet Guard: Stormwatcher로 URL을 스캔하고 실시간으로 유출을 감지합니다.

• Scam Sniffer: 사기 서명 및 새로 게시된 피싱 웹사이트 서명을 탐지하는 데 특화되어 있습니다.

• Kerberus: 가짜 계정을 식별하는 Social Shield 기능을 갖춘 다층 보호 시스템.

• 사기 방지(chongluadao.vn): 악성 웹사이트 차단 유틸리티 및 베트남 사용자만을 위한 AI 컨설팅.

다중 위험 관리 전략 플로어

가장 안전한 상태를 달성하기 위해 Tan Phat Digital은 다음 프로세스를 권장합니다.

1. 분리 저장:

   • 콜드 지갑(Ledger, Trezor): 대규모 자산에 사용되며, 장기 보관(매우 낮은 위험).

   • 핫 지갑(MetaMask, Trust Wallet): 빈번한 거래, 스테이킹에 사용됩니다(중간 위험).

   • 버너 지갑: 위험한 NFT를 발행하거나 이상한 에어드랍을 받는 데 사용됩니다(높은 위험).

2. 삼중 확인 규칙: 확인 CoinMarketCap에서 정확한 도메인 이름을 확인하고 거래 시뮬레이션을 보고 수신 지갑 주소의 각 문자를 비교하세요.

3. 지갑 기간 정리: 매달 revoke.cash를 방문하여 사용하지 않은 승인 권한을 취소하세요.

일반적인 사례 연구

1. Mr Pips 사례 (베트남): TikToker Pho Duc Nam과 그의 공범들은 증권 거래소 모델과 가짜 가상 화폐를 통해 2,661명의 피해자로부터 5조 2천억 VND 이상을 사기적으로 탈취했으며, 1,000명 이상의 직원을 활용하여 투자자를 가상 잔고의 "매트릭스"로 유인했습니다.  

2. Toptrade1 거래소 사례(Hung Yen): Nguyen Duy Thoai가 이끄는 링은 익명의 그룹을 고용하여 USDT를 사용하여 가짜 거래소를 설계하고 호화로운 생활 방식을 자랑하여 신뢰를 구축함으로써 2조 6천억 VND 이상을 충당했습니다.  

3. '고래' 사건으로 6,800만 달러 손실(2024년 5월): 한 대규모 투자자가 '주소 중독' 공격으로 1,155WBTC의 손실을 입었습니다. 공격자는 피해자의 보조 지갑 주소와 동일한 주소를 생성하여 거래 내역을 오염시키고 피해자를 속여 잘못된 주소를 복사하도록 합니다.  

4. Ledger Connect Kit 사건(2023년 12월): Ledger의 소프트웨어 라이브러리를 표적으로 삼은 공급망 공격으로, 공격자가 악성 "드레이너" 코드를 일련의 대형 dApp에 삽입하여 Web3 인터페이스와 상호 작용하는 사용자에게 직접적인 영향을 미칠 수 있습니다.  

5. Trezor 데이터 유출(2024년 1월): Trezor의 지원 포털이 손상되어 66,000명의 사용자 정보가 노출되었습니다. 얼마 지나지 않아 피해자들은 가짜 "클라우드 복구"를 위해 복구 문구를 입력하라는 피싱 이메일을 받았습니다.  

6. Bored Ape NFT 14개 도난 사건(2021년 12월): 투자자를 속여 '영화 계약'으로 위장한 거래 요청에 서명했는데, 이는 실제로 공격자가 수백만 달러 상당의 NFT 14개를 인출할 수 있는 '승인' 명령이었습니다(아이스 피싱).  

7. Badger DAO 공격(2021년 11월):공격자는 프로토콜의 프런트엔드 인터페이스에 악성 코드를 주입하여 사용자를 속여 악성 승인 권한에 서명하도록 유도하여 최대 1억 2천만 달러의 손실을 입혔습니다.  

8. MPX 및 XFI 프로젝트(베트남): 대상은 "미래 에너지" 프로젝트에 대한 신뢰를 이용하여 2,000명의 피해자를 유인하여 실제 가치가 없는 토큰에 2조 VND를 투자한 후 도주했습니다.  

9. Speeding.vip 애플리케이션(하노이): 암호화폐 투자 애플리케이션의 그늘에 숨어 있는 Ponzi 모델은 하루 0.5%의 수익을 약속했고, 수십만 개의 계정을 유치한 후 붕괴되어 수천만 달러를 충당했습니다.  

10. Uniswap 유동성 피싱(800만 달러): 가짜 Airdrop 프로그램을 통해 유동성 공급자를 속여 지갑 액세스 권한을 해커에게 넘겨주고 몇 분 만에 자산을 몰살시켰습니다.  

암호화폐 지갑 피싱에 대한 10가지 자주 묻는 질문

1. 암호화폐 지갑 피싱이란 정확히 무엇인가요? 이는 평판이 좋은 기관(거래소, 전자 지갑)을 사칭하여 사용자가 자발적으로 복구 문구 또는 악의적인 거래에 서명하는 등 민감한 정보를 적절한 자산에 서명하도록 속이는 행위입니다.  

2. 시드 문구가 왜 가장 중요한가요? 이 문구는 지갑 속 계좌 전체에 접근할 수 있게 해주는 '마스터 키'입니다. 그것을 얻는 사람은 누구든지 귀하의 자산을 영원히 완벽하게 통제할 수 있습니다.  

3. MetaMask 웹사이트가 가짜인지 아닌지 어떻게 알 수 있나요? 공식 MetaMask는 브라우저 확장 프로그램과 모바일 앱으로만 존재합니다. "동기화" 또는 "업그레이드"를 위해 복구 문구를 입력하도록 요청하는 사이트는 모두 사기입니다.  

4. 아이스 피싱은 기존 피싱과 어떻게 다른가요? 기존 피싱은 로그인 정보/비밀 키를 훔칩니다. 아이스 피싱은 공격자가 개인 키를 알지 못한 채 귀하를 대신하여 자금을 인출할 수 있도록 허용하는 승인 명령에 서명하도록 속입니다.  

5. 지갑에 이상한 토큰이 들어왔는데 팔아야 할까요? 절대 아닙니다. 이것이 바로 "이상한 토큰" 미끼입니다. 판매를 위해 첨부된 웹사이트에 접속하거나 상호 작용하려고 하면 지갑 액세스에 서명하라는 메시지가 표시되며, 이로 인해 다른 귀중한 자산이 삭제될 수 있습니다.  

6. 실수로 의심스러운 링크를 클릭하면 어떻게 되나요? 즉시 자산을 새롭고 안전한 지갑으로 옮기세요. 그런 다음 Revoke.cash와 같은 도구를 사용하여 의심스러운 토큰 승인을 확인하고 취소하세요.  

7. 콜드월렛(하드웨어월렛)은 정말 피싱에 강한가요? 콜드월렛은 개인키가 오프라인으로 저장되기 때문에 사이버 공격으로부터 보호해 줍니다. 그러나 속아서 실제 장치에서 바로 악의적인 거래에 서명하는 경우에도 자산이 손실될 수 있습니다.  

8. Pocket Universe 위젯은 어떤 역할을 합니까? 서명하기 전에 거래를 시뮬레이션하여 손실과 이득이 무엇인지 정확하게 보여줍니다. 시뮬레이션에서 잔액이 청산되는 것을 보면 시간에 맞춰 멈출 수 있습니다.  

9. 사기꾼이 나에게 소량의 토큰을 보낸 이유는 무엇입니까(주소 중독)? 그들의 가짜 주소가 거래 내역에 표시되도록 합니다. 그들은 다음번에는 당신이 부주의하여 실제 주소 대신 해당 주소를 복사하기를 바랍니다.  

10. 베트남에서 사기성 웹사이트를 신고하는 방법 chongluadao.vn 프로젝트에 직접 신고하거나 경찰 공식 채널을 통해 커뮤니티에 경고할 수 있습니다.  

베트남에서 암호화폐 피싱 공격이 점점 더 치열해지고 있습니다. Tan Phat Digital은 분산형 금융 시스템에서 자유에는 항상 절대적인 책임이 따른다고 믿습니다. 보안 도구를 완벽하게 갖추고 건전한 회의감을 유지하며 최신 지식을 유지하는 것이 디지털 시대에 재무 성과를 보호할 수 있는 유일한 방법입니다.