
OKX Web3 최신 발표: 체인 상에서 낚시 공격을 방지하는 보안 거래 가이드
TechFlow 선정TechFlow 추천

OKX Web3 최신 발표: 체인 상에서 낚시 공격을 방지하는 보안 거래 가이드
체인 상의 세계를 탐험할 때는 보안이 최우선입니다. 사용자는 다음 세 가지 보안 규칙을 꼭 기억해야 합니다: 어떤 웹페이지에도 암기문구/개인키를 입력하지 말 것, 지갑 거래 창에서 '확인' 버튼을 클릭할 때 주의 깊게 검토할 것, 트위터/Discord/검색 엔진에서 얻은 링크는 피싱 사이트일 수 있음을 인지할 것.
새로운 주기에 접어들면서 체인 상의 상호작용 위험이 사용자 활동 증가와 함께 점점 더 노출되고 있다. 낚시 공격자들은 보통 정품 지갑 웹사이트를 가장하거나 소셜 미디어 계정을 해킹하고, 악성 브라우저 확장 프로그램을 만들거나, 스팸 메일과 메시지를 보내며, 허위 애플리케이션을 배포하는 등의 방법으로 사용자가 민감한 정보를 유출하게 만든다. 이는 자산 손실로 이어지며, 낚시 공격은 다양성, 복잡성, 은폐성 등의 특징을 나타낸다.
예를 들어, 낚시 공격자들은 정식 지갑 사이트와 외형이 매우 유사한 가짜 웹사이트를 만들어 사용자가 개인키나 복구 문구(Seed Phrase)를 입력하도록 유도한다. 이러한 가짜 사이트는 일반적으로 소셜 미디어, 이메일 또는 광고를 통해 홍보되며, 사용자가 정상적인 지갑 서비스에 접속하고 있다고 오인하게 하여 자산을 탈취한다. 또한 일부 낚시 공격자들은 소셜 미디어 플랫폼, 포럼 또는 인스턴트 메신저 앱을 이용해 지갑 고객지원 담당자나 커뮤니티 관리자로 위장하여 사용자에게 지갑 정보나 개인키 제공을 요구하는 허위 메시지를 보내기도 한다. 이 방식은 사용자의 공식 기관에 대한 신뢰를 악용해 개인정보를 유출하게 만든다.
요약하면, 이러한 사례들은 낚시 공격이 Web3 지갑 사용자에게 얼마나 큰 위협이 되는지를 잘 보여준다. 사용자들이 Web3 지갑 사용 시 보안 의식을 높이고 자산 손실을 방지할 수 있도록 하기 위해 OKX Web3는 커뮤니티 내부 조사를 실시하고 다수의 Web3 지갑 사용자들이 경험한 낚시 사례들을 수집·분석하여, 사용자들이 가장 자주 겪는 4대 대표적인 낚시 시나리오를 도출했다. 각 시나리오별 세부 사례를 바탕으로 이미지와 텍스트를 결합한 방식으로 Web3 사용자들이 안전한 거래를 수행할 수 있는 최신 가이드를 제작하였으며, 이를 참고하기 바란다.
악성 정보 출처
1. 인기 프로젝트 트위터 댓글
인기 프로젝트의 트위터 댓글을 통한 전파는 악성 정보의 주요 경로 중 하나이다. 낚시 트위터 계정은 로고, 이름, 인증 마크까지 공식 계정과 똑같이 만들 수 있으며, 팔로워 수조차 수만 명에 이를 수 있다. 두 계정을 구별할 수 있는 유일한 요소는 바로 트위터 핸들(handle)(유사 문자 주의)이므로, 사용자 여러분께서는 반드시 주의 깊게 확인해야 한다.

또한 많은 경우, 가짜 계정이 공식 트위터 게시물 아래에서 고의로 댓글을 달며, 그 내용에 낚시 링크를 포함시키는 방식을 쓴다. 사용자는 이를 공식 링크로 오인하기 쉬우며, 결국 사기 당하게 된다. 현재 일부 공식 계정은 트윗 말미에 "End of Tweet"이라는 문구를 추가해, 이후 달리는 댓글에 낚시 링크가 포함될 수 있음을 사전에 경고하고 있다.

2. 공식 트위터/Discord 해킹
신뢰성을 높이기 위해 낚시 공격자들은 종종 프로젝트팀이나 KOL의 공식 트위터 혹은 Discord 계정을 해킹하여 공식 입장처럼 낚시 링크를 게시한다. 실제로 비탈릭(Vitalik)의 트위터 계정 및 TON 프로젝트의 공식 트위터 계정도 해킹된 적이 있으며, 공격자들은 이를 통해 허위 정보나 낚시 링크를 배포한 바 있다.


3. 구글 검색 광고
낚시 공격자들은 때때로 구글 검색 광고를 활용해 악성 링크를 유포한다. 사용자가 브라우저에 표시되는 이름은 공식 도메인처럼 보이지만, 클릭 후 연결되는 실제 링크는 낚시 사이트로 리디렉션된다.

4. 허위 애플리케이션
낚시 공격자들은 허위 앱을 통해 사용자를 유인하기도 한다. 예를 들어 사용자가 낚시 공격자가 배포한 가짜 지갑 앱을 다운로드 및 설치하면, 개인키가 유출되어 자산을 잃게 된다. 과거에는 텔레그램 설치 파일을 변조하여 토큰 송수신 시 체인 상의 주소를 변경함으로써 사용자의 자산을 탈취한 사례도 있었다.


5. 대응 조치: OKX Web3 지갑의 낚시 링크 탐지 및 위험 경고 기능
현재 OKX Web3 지갑은 낚시 링크 탐지 및 위험 경고 기능을 지원함으로써 위에 언급된 문제들에 대응할 수 있도록 돕고 있다. 예를 들어 사용자가 OKX Web3 플러그인 지갑을 통해 브라우저로 웹사이트에 접속할 때, 해당 도메인이 알려진 악성 도메인이라면 즉시 경고 알림을 받게 된다. 또한 사용자가 OKX Web3 앱의 Discover 화면에서 서드파티 DApp에 접속하려 할 경우, OKX Web3 지갑은 자동으로 도메인의 위험 여부를 검사하며, 악성 도메인일 경우 접근을 차단하고 경고 메시지를 표시한다.


지갑 개인키 보안
1. 프로젝트 상호작용 또는资格검증 시
사용자가 프로젝트와 상호작용하거나 자격을 인증하는 과정에서 낚시 공격자들이 플러그인 지갑의 팝업 창이나 다른 웹페이지로 위장하여 사용자에게 복구 문구(seed phrase)/개인키를 입력하도록 요구한다. 이런 경우 대부분 악성 웹사이트이므로 사용자는 경계심을 가져야 한다.


2. 프로젝트 고객지원 또는 관리자 사칭
낚시 공격자들은 자주 프로젝트 측 고객지원 담당자나 Discord 관리자로 위장하여, 사용자가 복구 문구 또는 개인키를 입력할 수 있는 웹사이트를 제공한다. 이런 경우 상대방은 분명히 낚시 공격자임을 의미한다.


3. 기타 복구 문구/개인키 유출 경로
사용자의 복구 문구 및 개인키 유출 경로는 다양하다. 일반적인 사례로는 컴퓨터에 트로이 목마 감염, 에어드랍 참여용 지문 브라우저 사용, 원격 제어 또는 프록시 도구 사용, 복구 문구/개인키 스크린샷 저장 후 악성 앱에 의해 업로드, 클라우드 백업 후 클라우드 플랫폼 해킹, 복구 문구/개인키 입력 과정 모니터링, 주변 사람들의 물리적 접근, 개발자가 Github에 개인키가 포함된 코드를 푸시하는 등이 있다.
결론적으로 사용자는 복구 문구/개인키를 안전하게 저장하고 사용함으로써 지갑 자산 보안을 강화해야 한다. 예를 들어 현재 OKX Web3 지갑은 iCloud/Google Drive 클라우드 백업, 수동 백업, 하드웨어 백업 등 다양한 복구 문구/개인키 백업 방식을 제공하며, 시장에서 가장 포괄적인 백업 옵션을 갖춘 지갑 중 하나로 성장하였다. 또한 사용자의 개인키가 유출된 경우를 대비해 Ledger, Keystone, Onekey 등 주요 하드웨어 지갑과의 연동 기능도 지원한다. 하드웨어 지갑은 개인키를 디바이스 자체에 저장하며 사용자가 직접 관리하므로 자산 보안을 강화할 수 있다. 즉, OKX Web3 지갑은 사용자가 하드웨어 지갑으로 자산을 안전하게 관리하면서도 자유롭게 체인 상의 토큰 거래, NFT 마켓, 다양한 dApp 프로젝트에 참여할 수 있도록 지원한다. 더불어 OKX Web3 지갑은 MPC(Private Keyless) 지갑과 AA 스마트 계약 지갑도 출시하여 사용자들이 개인키 문제를 더욱 간편하게 해결할 수 있도록 돕고 있다.
4대 대표적인 낚시 시나리오
시나리오 1. 메인체인 토큰 탈취
낚시 공격자들은 악성 컨트랙트 함수 이름을 Claim, SeurityUpdate 등 유인성 있는 이름으로 설정하지만, 실제 함수 로직은 비어 있으며 사용자의 메인체인 토큰만 전송한다. 현재 OKX Web3 지갑은 '거래 사전 실행' 기능을 제공하여, 해당 거래가 체인에 반영되었을 때의 자산 및 권한 변경 사항을 미리 보여주며 사용자에게 보안을 다시 한번 알린다. 또한 상호작용하는 컨트랙트 또는 권한 부여 주소가 알려진 악성 주소일 경우, 빨간색 경고 메시지를 표시한다.


시나리오 2. 유사 주소 송금
대량 송금이 발생했을 때, 낚시 공격자들은 수취 주소와 앞부분 몇 자리를 동일하게 만든 유사 주소를 생성하여 주소 충돌을 유도한다. 이후 transferFrom을 이용해 0 금액 송금을 하거나, 가짜 USDT로 일정 금액을 송금하여 사용자의 거래 내역을 오염시킨다. 이는 사용자가 추후 거래 내역에서 잘못된 주소를 복사해 송금하게 만들려는 목적이다.
https://www.oklink.com/cn/trx/address/TT3irZR6gVL1ncCLXH3PwQkRXUjFpa9itX/token-transfer

https://tronscan.org/#/transaction/27147fd55e85bd29af31c00e3d878bc727194a377bec98313a79c8ef42462e5f


시나리오 3. 체인 상 권한 부여
낚시 공격자들은 사용자가 approve / increaseAllowance / decreaseAllowance / setApprovalForAll 거래를 서명하도록 유도하며, Create2를 이용해 미리 계산된 새 주소를 생성하여 보안 검사를 우회하는 방식으로 사용자의 권한을 탈취한다. OKX Web3 지갑은 권한 부여 거래 시 보안 경고를 제공하여 사용자에게 해당 거래가 권한 관련임을 알리고 위험을 주의한다. 또한 거래 권한 부여 주소가 알려진 악성 주소일 경우, 빨간색 경고 메시지를 표시하여 사용자가 피해를 입지 않도록 한다.


시나리오 4. 체인 외 서명 (Off-chain Signing)
체인 상 권한 부여 외에도, 낚시 공격자들은 사용자가 체인 외 서명을 하도록 유도하는 방식을 사용한다. 예를 들어 ERC20 토큰 권한 부여는 특정 주소 또는 컨트랙트에 일정 금액을 위임하게 하며, 해당 주소는 transferFrom을 통해 사용자 자산을 이체할 수 있다. 낚시 공격자들은 이러한 특성을 악용하여 사기 행각을 벌인다. 현재 OKX Web3 지갑은 이러한 시나리오를 대비해 리스크 경고 기능을 개발 중이며, 사용자가 오프라인 서명을 진행할 때 서명 내 권한 부여 주소를 분석하여 알려진 악성 주소와 일치할 경우 위험을 경고할 예정이다.


기타 낚시 시나리오
시나리오 5. TRON 계정 권한
이 시나리오는 다소 추상적이며, 일반적으로 낚시 공격자가 사용자의 TRON 계정 권한을 획득해 자산을 통제하는 방식이다. TRON 계정 권한 설정은 EOS와 유사하게 Owner 및 Active 권한으로 나뉘며, 멀티시그 형태의 권한 제어도 가능하다. 예를 들어 아래 설정에서 Owner 임계값(threshold)은 2이며, 두 주소의 가중치는 각각 1과 2이다. 첫 번째 주소는 사용자 주소이며 가중치가 1이므로 단독으로 계정을 조작할 수 없다.
https://tronscan.org/#/wallet/permissions
https://www.oklink.com/trx/tx/1fe56345873425cf93e6d9a1f0bf2b91846d30ca7a93080a2ad69de77de5e45f


시나리오 6. Solana 토큰 및 계정 권한
낚시 공격자들은 SetAuthority를 통해 Solana 토큰 ATA 계정의 소유권을 변경하며, 이는 마치 토큰이 새로운 소유자 주소로 이전된 것과 같다. 사용자가 이 방식에 걸리면 자산이 낚시 공격자에게 넘어가게 된다. 또한 사용자가 Assign 거래에 서명할 경우, 정상 계정의 Owner가 System Program에서 악성 컨트랙트로 변경될 수 있다.



시나리오 7. EigenLayer의 queueWithdrawal 호출
프로토콜 설계 자체의 문제로 인해 낚시 공격에 취약할 수 있다. 이더리움 기반의 미들웨어 프로토콜 EigenLayer의 queueWithdrawal 기능은 다른 주소를 withdrawer로 지정할 수 있게 하며, 사용자가 이 거래에 서명하면 낚시에 걸린 것이다. 7일 후, 지정된 주소는 completeQueuedWithdrawal을 통해 사용자의 스테이킹 자산을 인출할 수 있다.
체인 상 세계 탐험, 보안이 우선
Web3 지갑의 안전한 사용은 자산 보호의 핵심이다. 사용자는 잠재적 위험과 위협으로부터 자신을 보호하기 위해 실질적인 예방 조치를 취해야 한다. 보안 감사를 완료하고 업계에서 신뢰받는 OKX Web3 지갑을 선택해 보다 안전하고 편리하게 체인 상 세계를 탐험할 수 있다.
업계 최첨단 기술과 가장 포괄적인 기능을 갖춘 OKX Web3 지갑은 완전히 탈중앙화되고 사용자가 스스로 관리하는 지갑으로, 체인 상 앱을 원스톱으로 이용할 수 있다. 현재 85개 이상의 퍼블릭 체인을 지원하며, 앱, 플러그인, 웹 세 가지 플랫폼이 통합되어 있어 지갑, DEX, DeFi, NFT 마켓, DApp 탐색 등 5대 기능을 아우른다. Ordinals 마켓, MPC 및 AA 스마트 계약 지갑, 가스 교환, 하드웨어 지갑 연결 기능도 지원한다. 또한 사용자는 복구 문구 및 개인키를 안전하게 보관하고, 지갑 앱과 운영체제를 정기적으로 업데이트하며, 링크 및 메시지 처리 시 신중을 기하고, 다중 인증(MFA) 기능을 활성화함으로써 지갑 보안을 한층 강화할 수 있다.
결국, 체인 상 세계에서는 자산 보안이 무엇보다 중요하다.
다음 3가지 Web3 보안 규칙을 꼭 기억하라: 어떤 웹페이지에도 복구 문구/개인키를 입력하지 말 것, 지갑 거래 창에서 '확인' 버튼을 누르기 전에 신중히 검토할 것, 트위터/Discord/검색 엔진에서 얻은 링크는 낚시 링크일 수 있음을 항상 인지할 것.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News













