암호화폐, 탈중앙화 금융(defi), Web3의 세계에서 에어드롭은 업계에서 흔한 일이 되었습니다. 그러나 에어드롭은 무료인 것처럼 들리지만 소위 '무료' 암호화 자산을 얻으려고 시도할 때 사람들의 돈을 훔치는 에어드롭 피싱 사기의 추세가 증가하고 있습니다. 다음은 공격자가 에어드롭 피싱 사기를 사용하여 자금을 훔치는 두 가지 방법과 자신을 보호할 수 있는 방법을 보여줍니다.
에어드롭이 항상 '무료 암호화'를 의미하는 것은 아닙니다 — 많은 에어드롭 경품 프로모션이 당신을 강탈하려고 합니다
에어드롭은 무료 암호화 펀드와 동의어였으므로 에어드롭 피싱이라는 암호화폐 사기가 만연해 있습니다. 암호 커뮤니티에 참여하고 Twitter 또는 Facebook과 같은 소셜 미디어 플랫폼을 사용하는 경우 모든 종류의 에어드랍을 광고하는 스팸 게시물을 많이 보았을 것입니다.
일반적으로 인기 있는 Twitter 암호 계정은 트윗을 만들고 에어드롭 피싱 시도를 광고하는 수많은 사기꾼과 무료로 돈을 받았다고 말하는 많은 계정이 이어집니다. 대부분의 사람들은 이러한 에어드롭 사기에 넘어가지 않을 것이지만 에어드롭은 무료 암호화폐로 간주되기 때문에 이러한 유형의 공격에 희생되어 자금을 잃은 사람들이 많이 있습니다.
첫 번째 공격은 소셜 미디어에서 동일한 광고 방법을 사용합니다. 다수의 사람이나 봇이 에어드롭 피싱 사기 웹 페이지로 연결되는 링크를 제공하기 때문입니다. 의심스러운 웹사이트는 매우 합법적인 것처럼 보일 수 있으며 인기 있는 Web3 프로젝트의 일부 요소를 복사할 수도 있지만 결국 사기꾼은 자금을 훔치려고 합니다. 무료 에어드랍 사기는 알려지지 않은 암호화폐일 수도 있고, 다음과 같은 인기 있는 기존 디지털 자산일 수도 있습니다. BTC, ETH, SHIB, DOGE 등이 있습니다.
첫 번째 공격은 일반적으로 에어드랍을 받을 수 있지만 소위 '무료' 자금을 검색하려면 호환 가능한 Web3 지갑을 사용해야 함을 보여줍니다. 웹사이트는 Metamask 및 기타 인기 있는 Web3 지갑을 모두 보여주는 페이지로 연결되지만, 이번에는 지갑 링크를 클릭하면 오류가 팝업되고 사이트에서 사용자에게 시드 문구를 묻습니다.
지원을 받으려면 MetaMask를 열고 드롭다운 메뉴에서 "지원" 또는 "도움말 받기"로 이동하세요. 당신에게 직접 메시지를 보낸 사람을 믿지 마세요. 어떤 경우에도 비밀 복구 문구를 누구에게나 제공하거나 사이트에 입력해서는 안 됩니다!
— 메타마스크 지원(@MetaMaskSupport) 2022 년 4 월 29 일
사용자가 적극적으로 지갑을 복원하지 않는 한 Web3 지갑은 시드 또는 12-24 니모닉 문구를 요구하지 않기 때문에 상황이 불투명해집니다. 그러나 의심하지 않는 에어드롭 피싱 사기 사용자는 오류가 합법적이라고 생각하고 웹 페이지에 시드를 입력할 수 있으며 이로 인해 결국 지갑에 저장된 모든 자금이 손실될 수 있습니다.
기본적으로 사용자는 니모닉 문구를 요구하는 Web3 지갑 오류 페이지에 빠져 공격자에게 개인 키를 제공했습니다. 알 수 없는 출처에서 메시지가 표시되면 개인은 시드 또는 12-24 니모닉 문구를 입력해서는 안 되며, 지갑을 복원할 필요가 없는 한 온라인에서 시드 문구를 입력할 필요가 전혀 없습니다.
Shady Dapp 권한을 부여하는 것은 최선의 아이디어가 아닙니다.
두 번째 공격은 좀 더 까다로우며 공격자는 코드의 기술을 사용하여 Web3 지갑 사용자를 강탈합니다. 마찬가지로 에어드롭 피싱 사기는 소셜 미디어에 광고되지만 이번에는 해당 사용자가 웹 포털을 방문할 때 Web3 지갑을 사용하여 사이트에 "연결"할 수 있습니다.
그러나 공격자는 사이트에 잔액에 대한 읽기 액세스 권한을 부여하는 대신 사용자가 궁극적으로 사이트에 Web3 지갑의 자금을 훔칠 수 있는 전체 권한을 부여하도록 코드를 작성했습니다. 이는 단순히 Web3 지갑을 사기 사이트에 연결하고 권한을 부여함으로써 발생할 수 있습니다. 해당 사이트에 접속하지 않고 그냥 걸어가기만 하면 공격을 피할 수 있지만, 이런 피싱 공격에 빠진 사람들이 많이 있습니다.
최신 피싱 사기 사례는 다음과 같습니다.
1️⃣ 토큰 에어드랍
2️⃣ 쉽게 찾을 수 있도록 동일한 이름의 웹사이트를 구축하세요.
3️⃣ 이 토큰을 스테이킹하는 것으로 보이는 것을 찾으면 Approve txn을 통해 다른 토큰(예: SNX)을 무제한으로 사용할 수 있습니다.그런 다음 지갑에서 토큰을 빼냅니다. pic.twitter.com/vICeC5rGk
— DeFi 아빠 ⟠ defidad.eth (@DeFi_Dad) 2021 년 12 월 20 일
지갑을 보호하는 또 다른 방법은 지갑의 Web3 권한이 사용자가 신뢰하는 사이트에 연결되어 있는지 확인하는 것입니다. 의심스러워 보이는 분산형 애플리케이션(dapp)이 있는 경우, 사용자는 '무료' 암호화폐 사기에 속아 실수로 dapp에 연결한 경우 권한을 제거해야 합니다. 그러나 일반적으로 때는 너무 늦고 DApp이 지갑 자금에 액세스할 수 있는 권한을 부여받으면 DApp에 적용된 악성 코딩을 통해 사용자로부터 암호화폐를 도난당하게 됩니다.
위에서 언급한 두 가지 공격으로부터 자신을 보호하는 가장 좋은 방법은 의도적으로 지갑을 복원하지 않는 한 온라인에 시드 문구를 입력하지 않는 것입니다. 이와 함께, 사용에 익숙하지 않은 수상한 Web3 웹사이트 및 dapp에 Web3 지갑 권한을 연결하거나 부여하지 않는 것도 좋은 방법입니다. 이 두 가지 공격은 현재 에어드롭 피싱 추세에 주의하지 않으면 순진한 투자자에게 큰 손실을 초래할 수 있습니다.
이러한 유형의 피싱 사기에 피해를 입은 사람을 알고 있습니까? 암호화폐 피싱 시도를 어떻게 발견합니까? 댓글로 여러분의 생각을 알려주세요.
이미지 크레딧: Shutterstock, ×, Wiki Commons
책임 부인:이 기사는 정보 제공만을 목적으로합니다. 구매 또는 판매 제안을 직접 제안하거나 권유하거나 제품, 서비스 또는 회사를 추천하거나 보증하는 것이 아닙니다. Bitcoin.com 투자, 세금, 법률 또는 회계 조언을 제공하지 않습니다. 회사 나 저자는이 기사에서 언급 된 컨텐츠, 상품 또는 서비스의 사용 또는 의존으로 인해 발생하거나 이와 관련하여 발생하는 것으로 보이는 손해 또는 손실에 대해 직간접 적으로 책임을지지 않습니다.
출처: https://news.bitcoin.com/the-2-most-common-airdrop-phishing-attacks-and-how-web3-wallet-owners-can-stay-protected/