벌도 못 벌었는데 해킹 당했다고요? 아래 명문 보안 가이드를 꼭 숙지하세요
글: BlockSec
명문(铭文)이라는 개념이 전에 없던 인기를 끌면서 상위 명문들의 가격은 최대 수만 배까지 급등했다. 이러한 상황 속에서 많은 사람들이 명문의 복잡성과 새로운 특성을 악용해 다양한 사기 행위를 시도하고 있으며, 그 양상은 점점 더 기승을 부리고 있다. 이는 사용자 자산의 보안에 심각한 위협이 될 뿐 아니라 명문 생태계 전체의 건강한 발전에도 악영향을 미치고 있다.
이에 따라 우리는 세 가지 대표적인 명문 보안 사례, 즉 스캠 프로젝트 리스크, 오전송 및 오소각(误 burn) 리스크, 중앙화 도구 리스크와 각 상황에서 사용자가 취해야 할 예방 조치에 대해 정리했다.
스캠 프로젝트 리스크
현재 비트코인 프로토콜에서는 프로젝트를 식별할 때 주로 배포(deploy) 과정에서 지정된 프로젝트 이름에 의존하며, 고유 ID를 통해 인덱서에서 표시한다. 그러나 일반 사용자들은 보통 프로젝트 이름만 기억하고 이를 거래의 근거로 삼는다. 이러한 이름에 의존하는 거래 방식은 일정한 리스크를 내포하고 있는데, ASCII 코드에는 모양은 유사하지만 서로 다른 문자열이 많아 시각적 사기가 가능하기 때문이다. 악의적인 세력은 이런 유사하지만 다른 문자열을 이용해 사용자를 속여 마치 유명 프로젝트와 거래하는 것처럼 착각하게 만들고, 유사한 프로젝트 토큰을 대량으로 발행할 수 있다.
이러한 사기 행위는 주로 프로젝트의 민팅(mint) 과정에서 발생한다. 악의적 세력은 사용자에게 수수료를 지불하게 하여 토큰이나 기타 가상 자산을 획득하도록 유도하지만, 실제로 이 토큰들은 실질적인 가치가 없을 수 있다. 이러한 사기는 사용자의 이익을 해칠 뿐 아니라 전체 생태계의 불안정까지 초래할 수 있다.
예를 들어 아래의 가짜 rats 케이스를 살펴보면, 가짜 rats와 진짜 rats의 이름이 매우 유사하다. 이는 유사한 ASCII 코드를 사용했기 때문이다. 사용자가 이름을 꼼꼼히 확인하지 않으면(특히 'rats' 안의 't' 주의) 잘못된 가짜 rats 토큰을 구매하게 되어 경제적 손실을 입게 된다.
가짜 명문 외에도 일부 스캠 명문은 민팅 과정에서 사용자의 추가 자금까지 탈취하려 한다.
아래 이미지에서 보듯이 bitmap에 명문을 새길 때, 사기 웹사이트는 사용자에게 특정 주소로 추가 결제를 요구한다. 사용자가 결제 금액을 제대로 확인하지 않으면 큰 손실을 입게 된다.
💡 대응책: 알려지지 않은 채널을 통한 명문 민팅 피하기
현재 명문 민팅 채널은 매우 다양하며, 현재까지 접한 종류만 해도 다음과 같다:
-
프로젝트 본사의 공식 발행 웹사이트
-
Unisat 등 지갑의 보조 도구
-
기타 제3자 제공 보조 도구
이러한 다양한 명문 민팅 채널은 사용자들로 하여금 혼란을 겪게 하고 채널의 정확성과 안전성을 판단하기 어렵게 만들어 결국 스캠 명문에 속는 결과를 낳는다. 따라서 우리는사용자들이 지갑이나 프로젝트 본사의 공식 웹사이트를 통해 명문을 민팅할 것을 권장하며, 민팅 전 반드시 웹사이트 주소의 정확성을 확인하고 필요한 민팅 금액을 꼼꼼히 확인할 것을 강조한다. 특히 대량 민팅의 경우,지갑의 보조 도구를 활용함으로써 자금의 안전성을 더욱 높일 것을 제안한다.
오전송 및 오소각(误 burn) 리스크
첫째, 오전송이란 명문의 매체를 일반 비트코인처럼 전송하는 경우를 말한다. 명문은 비트코인 트랜잭션에 첨부되는 형태이므로, 전통적인 BTC 지갑은 명문이 부가한 가치를 고려하지 않고 UTXO 모델에 잠긴 사토시(satoshi)의 가치만 표시한다.일부 사용자는 명문에 대해 충분히 이해하지 못한 상태에서 전통적인 전송 작업을 수행할 수 있는데, 이 경우 지갑이 명문을 일반 비트코인 자산으로 간주하여 다른 UTXO와 병합·분할 후 잘못된 주소로 전송함으로써 돌이킬 수 없는 손실을 초래할 수 있다.
둘째, 오소각(burn)이란 명문을 무가치하거나 의미 없는 정보로 간주해 소각하거나 삭제하는 경우를 말한다. 명문은 분할 모델에서 비트코인의 소유권이나 가치에 직접적인 영향을 미치지 않기 때문에, 일부 사용자는 명문이 포함된 비트코인이 서류상 가치가 낮거나 중요하지 않다고 잘못 생각하고 다른 UTXO와 병합하는 선택을 할 수 있다. 이는 명문 관련 중요한 정보나 자산을 영구적으로 잃는 결과를 초래할 수 있다.
아래 이미지에서 보듯이, 원래 명문을 보호해야 하는 BTC 트랜잭션에서 지갑이 명문을 제대로 인식하지 못하고 이를 dust(미세잔액)처럼 처리해 전송함으로써 손실이 발생했다. https://twitter.com/wizzwallet/status/1714385677985661245?s=20
💡대응책: 전용 명문 주소와 지갑 준비
분할 모델에서 고가치 명문 자산을 오전송 또는 오소각하는 실수를 막기 위해,사용자들은 전용 명문 주소와 지갑을 준비할 것을 권장한다. 이를 통해 실수로 인한 리스크를 효과적으로 줄이고 명문 자산의 보안을 확보할 수 있다. 이 주소는 일반 거래 주소와 분리되어야 하며, 일반 비트코인 거래 주소와 혼동되지 않도록 해야 한다. 명문 거래를 다른 거래와 분리함으로써 사용자는 명문 자산을 보다 효과적으로 관리하고 통제할 수 있다.
중앙화 도구 리스크
블록체인의 탈중앙화 설계는 사용자가 직접 블록체인 생태계에 참여할 수 있게 하지만, 복잡한 RPC 프로토콜을 직접 사용하는 것은 너무나 복잡하므로 대부분의 사용자들은 보조 도구에 의존해 명문 생태계의 민팅 및 거래 과정에 참여하고 있다.
그러나 명문은 새로운 개념이며, 성숙한 ERC20 체계에 비해 생태계는 여전히 초기 단계이다. 현재 보조 도구들이 우후죽순 생겨나고 있지만 대부분 기능 중심으로 개발되었으며 보안 측면에서는 여전히 일부 허점이 존재한다. 예를 들어 사용자에게 직접 개인키를 가져와 대신 서명하게 하거나, 자산을 플랫폼에 위탁하게 해 거래를 가능하게 하는 등의 방식이다.이러한 작업은 사용자의 개인키를 노출시키며, 중앙화 도구는 실질적으로 사용자의 모든 자산을 장악하게 되어 rug pull 등의 중앙화 리스크에 쉽게 노출된다. 이 리스크는 마치 어떤 지갑 회사가 사용자의 개인키를 확보한 후, 몰래 모든 자산을 빼돌리고 회사를 폐업 선언하는 경우와 유사하다.
예를 들어 아래의 대행 도구는 사용자의 개인키를 획득해 지갑의 돈을 바로 훔쳐가는 사례다.
💡대응책: 안전한 명문 보조 도구 사용
명문 자산의 보안을 강화하기 위해,사용자는 잘 알려진 명문 마켓플레이스에서 거래 및 작업을 수행해야 한다.
예:
Geniidata: https://geniidata.com/Ordinals/index/brc20
Ordiscan: https://ordiscan.com/
Etch Market: https://www.etch.market/market
이러한 널리 인정받는 명문 탐색 및 마켓플레이스는 안전한 거래 환경과 신뢰할 수 있는 명문 정보를 제공한다. 이런 유명 플랫폼에서 명문의 민팅(mint), 거래 및 기타 작업을 수행하면 사용자 보안이 크게 향상된다.또한 사용자는 알려지지 않은 웹사이트가 제공하는 명문 민팅 및 거래 서비스를 맹신하지 말고, 작업 전 해당 사이트의 신뢰성과 보안성을 철저히 조사하고 확인해야 한다. 또한 개인키나 기타 민감 정보를 신뢰할 수 없는 제3자에게 절대 공개하지 않아야 하며, 피싱이나 도난 피해를 막아야 한다.
요약
명문 스캠 리스크, 오전송 및 오소각 리스크, 그리고 중앙화 도구의 잠재적 위협을 깊이 이해한 후 알 수 있듯이, 명문 생태계는 밝은 미래와 가능성으로 가득하지만 동시에 여러 위험과 도전도 함께 존재한다. 사용자들은 명문의 거래 및 저장에 있어 높은 경계심과 신중함을 유지해야 한다. 공식 채널을 통한 명문 민팅, 전용 명문 주소 및 지갑 준비, 안전한 명문 보조 도구 선택 등 이러한 예방 조치들은 리스크를 크게 줄이고 사용자 자산의 보안을 지키는 데 중요한 역할을 한다. 마지막으로, 모든 사용자들이 명문 시장에 참여할 때 신중을 기할 것을 권장하며 디지털 자산 세계에서 보안은 언제나 최우선임을 기억해야 한다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@BlockSecTeam
