Web3의 사이버 보안: 자신(및 원숭이 JPEG) 보호

... 비록 ... 할지라도 Web3 에반젤리스트들은 블록체인의 고유한 보안 기능을 오랫동안 선전해 왔으며, 업계에 유입되는 돈의 급류는 해커들에게 매력적인 전망이 되고 있습니다. 사기꾼 그리고 도둑.

악의적인 행위자가 Web3 사이버 보안을 침해하는 데 성공하면 기술의 결함 때문이 아니라 인간의 탐욕, FOMO 및 무지의 가장 일반적인 위협을 간과하는 사용자에게 달려 있습니다.

많은 사기는 큰 보상, 투자 또는 독점적인 특전을 약속합니다. FTC는 이러한 돈벌이 기회와 투자라고 부릅니다. 사기.

사기에 큰 돈

2022 월 XNUMX 일에 따르면 신고 연방 거래 위원회(Federal Trade Commission)에 따르면 1년 이후 2021억 달러 이상의 암호화폐가 도난당했습니다. 그리고 해커들의 사냥터는 사람들이 온라인으로 모이는 곳입니다.

FTC는 "2021년 이후 사기로 암호화폐를 잃어버렸다고 보고한 사람들 중 거의 절반이 소셜 미디어 플랫폼의 광고, 게시물 또는 메시지에서 시작됐다고 말했다"고 말했다.

사기성 발언이 사실이라고 하기에는 너무 좋게 들리지만 암호화폐 시장의 극심한 변동성을 감안할 때 잠재적 피해자는 불신을 유보할 수 있습니다. 사람들은 다음 큰 일을 놓치고 싶어하지 않습니다.

NFT를 노리는 공격자

암호화폐와 함께 NFTs, 또는 대체 불가능한 토큰이 되었습니다. 인기가 높아지고있는 사기꾼의 표적; Web3 사이버 보안 회사에 따르면 TRM 연구소, 2022년 22월 이후 두 달 동안 NFT 커뮤니티는 사기 및 피싱 공격으로 약 XNUMX만 달러의 손실을 입었습니다.

다음과 같은 "블루칩" 컬렉션 지루한 원숭이 요트 클럽 (BAYC)는 특히 소중한 대상입니다. 2022년 XNUMX월 BAYC 인스타그램 계정은 해킹 이더리움 지갑에서 암호화폐 및 NFT를 고갈시킨 사이트로 피해자를 유도한 사기꾼에 의해 발생합니다. 총 가치가 91만 달러가 넘는 약 2.8개의 NFT가 도난당했습니다. 몇 달 후, 디스코드 익스플로잇 사용자로부터 도난당한 200 ETH 가치의 NFT를 보았습니다.

세간의 이목을 끄는 BAYC 보유자들도 사기의 피해자가 되었습니다. 17월 XNUMX일 배우 겸 프로듀서 세스 그린 Bored Ape #8398을 포함하여 XNUMX개의 NFT를 도난당한 피싱 사기의 희생자라고 트윗했습니다. 피싱 공격으로 인한 위협을 강조할 뿐만 아니라 Green이 계획한 NFT 테마의 TV/스트리밍 쇼인 "White Horse Tavern"을 탈선시킬 수 있습니다. BAYC NFT에는 NFT를 상업적 목적으로 사용할 수 있는 라이선스 권한이 포함됩니다. 지루하고 배고픈 캘리포니아 롱비치에 있는 패스트푸드점.

9월 XNUMX일 Twitter Spaces 세션에서 초록색 NFT를 도난당한 후 구입한 사람에게 165 ETH(당시 $295,000 이상)를 지불하고 도난당한 JPEG를 되찾았다고 말했습니다.

Web3 사이버 보안 회사의 보안 엔지니어인 Luis Lubeck은 "피싱은 여전히 ​​첫 번째 공격 벡터입니다. 할본, 말 해독.

Lubeck은 사용자가 지갑 자격 증명, 복제된 링크 및 가짜 프로젝트를 요구하는 가짜 웹사이트를 알아야 한다고 말합니다.

Lubeck에 따르면 피싱 사기는 소셜 엔지니어링에서 시작될 수 있으며, 사용자에게 조기 토큰 출시 또는 100배의 돈, 낮은 API 또는 계정이 침해되어 비밀번호 변경이 필요하다고 알려줍니다. 이러한 메시지는 일반적으로 행동할 시간이 제한되어 있어 사용자가 FOMO라고도 하는 놓칠 수 있다는 두려움을 더 많이 유발합니다.

Green의 경우 복제된 링크를 통해 피싱 공격이 발생했습니다.

클론 피싱은 사기꾼이 웹사이트, 이메일 또는 간단한 링크를 가져와 합법적인 것처럼 보이는 거의 완벽한 사본을 만드는 공격입니다. Green은 피싱 웹사이트로 밝혀진 것을 사용하여 "GutterCat" 클론을 만들고 있다고 생각했습니다.

Green이 자신의 지갑을 피싱 웹사이트에 연결하고 NFT를 발행하기 위한 거래에 서명했을 때 그는 해커에게 자신의 개인 키에 대한 액세스 권한을 부여하고 그 결과 Bored Apes에 액세스할 수 있게 되었습니다.

사이버 공격의 유형

보안 침해는 회사와 개인 모두에게 영향을 줄 수 있습니다. 전체 목록은 아니지만 Web3를 대상으로 하는 사이버 공격은 일반적으로 다음 범주에 속합니다.

• ? 피싱 (Phishing): 사이버 공격의 가장 오래되었지만 가장 흔한 형태 중 하나인 피싱 공격은 일반적으로 이메일 형태로 발생하며 평판이 좋은 출처에서 온 것처럼 보이는 소셜 미디어의 문자 및 메시지와 같은 사기성 통신을 보내는 것을 포함합니다. 이것 사이버 범죄 또한 암호화 지갑이 연결되면 연결된 브라우저 기반 지갑에서 암호화 또는 NFT를 유출할 수 있는 손상되거나 악의적으로 코딩된 웹사이트의 형태를 취할 수도 있습니다.
• ?☠️ Malware: 악성 소프트웨어의 줄임말인 이 포괄적 용어는 시스템에 유해한 모든 프로그램 또는 코드를 포함합니다. 맬웨어는 피싱 이메일, 문자 및 메시지를 통해 시스템에 침입할 수 있습니다.
• ? 손상된 웹사이트: 이러한 합법적인 웹 사이트는 범죄자에 의해 하이재킹되고 순진한 사용자가 링크, 이미지 또는 파일을 클릭하면 다운로드하는 맬웨어를 저장하는 데 사용됩니다.
• ? URL 스푸핑: 손상된 웹사이트의 연결을 해제합니다. 스푸핑된 웹 사이트는 합법적인 웹 사이트를 복제한 악성 사이트입니다. URL 피싱이라고도 하는 이러한 사이트는 사용자 이름, 비밀번호, 신용 카드, 암호화폐 및 기타 개인 정보를 수집할 수 있습니다.
• ? 가짜 브라우저 확장: 이름에서 알 수 있듯이 이러한 익스플로잇은 가짜 브라우저 확장을 사용하여 암호화 사용자가 자신의 자격 증명이나 키를 확장 프로그램에 입력하도록 하여 사이버 범죄자가 데이터에 액세스할 수 있도록 합니다.

이러한 공격은 일반적으로 민감한 정보에 액세스, 도용 및 파괴하거나 Green의 경우 Bored Ape NFT를 목표로 합니다.

자신을 보호하기 위해 무엇을 할 수 있습니까?

Lubeck은 피싱으로부터 자신을 보호하는 가장 좋은 방법은 알 수 없는 사람, 회사 또는 계정에서 보낸 이메일, SMS 문자, Telegram, Discord 또는 WhatsApp 메시지에 절대 답장하지 않는 것이라고 말합니다. Lubeck은 "나는 그 이상으로 갈 것입니다."라고 덧붙였습니다. "사용자가 통신을 시작하지 않은 경우 자격 증명이나 개인 정보를 입력하지 마십시오."

Lubeck은 공용 또는 공유 WiFi 또는 네트워크를 사용할 때 자격 증명이나 개인 정보를 입력하지 않을 것을 권장합니다. 또한 Lubeck은 다음과 같이 말합니다. 해독 사람들이 특정 운영 체제나 전화 유형을 사용하기 때문에 잘못된 보안 의식을 갖지 않아야 합니다.

"피싱, 웹페이지 사칭과 같은 종류의 사기에 대해 이야기할 때 iPhone, Linux, Mac, iOS, Windows 또는 Chromebook을 사용하는지 여부는 중요하지 않습니다."라고 그는 말합니다. "장치 이름을 지정하십시오. 문제는 장치가 아니라 사이트입니다."

암호화폐와 NFT를 안전하게 보관하세요

좀 더 "Web3" 실행 계획을 살펴보겠습니다.

가능하면 하드웨어 또는 에어 갭을 사용하십시오. 지갑 디지털 자산을 저장합니다. 때때로 "콜드 스토리지"로 설명되는 이러한 장치는 사용할 준비가 될 때까지 인터넷에서 암호화를 제거합니다. 다음과 같은 브라우저 기반 지갑을 사용하는 것이 일반적이고 편리하지만 메타 마스크, 인터넷에 연결된 모든 것이 해킹될 가능성이 있음을 기억하십시오.

모바일, 브라우저 또는 데스크탑 지갑(핫월렛이라고도 함)을 사용하는 경우 Google Play 스토어, Apple 앱 스토어 또는 검증된 웹사이트와 같은 공식 플랫폼에서 다운로드하십시오. 문자나 이메일을 통해 전송된 링크에서 다운로드하지 마십시오. 악성 앱이 공식 스토어에 침투할 수 있지만 링크를 사용하는 것보다 더 안전합니다.

거래를 완료한 후 웹사이트에서 지갑을 분리합니다.

개인 키, 시드 문구 및 암호를 비공개로 유지하십시오. 투자 또는 발행에 참여하기 위해 이 정보를 공유하라는 요청을 받으면 사기입니다.

이해하는 프로젝트에만 투자하십시오. 계획이 어떻게 작동하는지 확실하지 않다면 중단하고 더 많은 조사를 하십시오.

고압적인 전술과 촉박한 마감일은 무시하십시오. 종종 사기꾼은 이것을 사용하여 FOMO를 시도하고 호출하여 잠재적인 피해자가 그들이 들은 내용에 대해 생각하지 않거나 조사를 하지 않도록 합니다.

마지막으로, 너무 좋게 들리면 사실이 아닐 수 있습니다. 아마도 사기일 것입니다.