TON 생태계 보안 가이드: 지갑 선택부터 자산 보호까지 종합 안내
저자: Keystone 한국어
올해 들어 TON(The Open Network)은 많은 관심을 받고 있습니다. 텔레그램과 긴밀히 연결된 공용 블록체인으로서 방대한 사용자 기반과 새 프로젝트들이 만들어내는 부의 효과로 인해, 사용자들은纷纷 TON 생태계에 진입하여 자신만의 알파를 찾고자 하고 있습니다.
속담에 '사람이 모이는 곳에 무리가 생기듯', 트래픽이 많은 공용 블록체인에는 해커들도 상어가 핏냄새를 맡았을 때처럼 몰려듭니다. EVM과 기술적 특성이 다른 블록체인이기에, TON에서 거래할 때는 EVM 환경의 보안 습관을 그대로 적용해서는 안 됩니다.
TON 생태계 통합을 적극 추진하고 있는 하드웨어 지갑 업체로서, 우리는 사용자들이 안전하게 TON 생태계를 이용할 수 있도록 몇 가지 보안 조언을 정리했습니다.🤗
1. 올바른 지갑 선택하기
기술 구현 방식이 다르기 때문에, 메타마스크(Metamask), 라비(Rabby) 등 우리가 익숙하게 사용하는 EVM 지갑들은 현재 TON을 지원하지 않습니다. 따라서 TON을 지원하는 지갑을 별도로 설치해야 합니다.
이때 보안 수준이 높은 지갑 선택은 매우 중요합니다. 해당 지갑이 오픈소스인지, 하드웨어 지갑을 지원하는지 등을 기준으로 자신에게 맞는 지갑을 평가할 수 있으며, 특히 주의 깊게 살펴야 할 점은 지갑이 거래 정보를 얼마나 명확하고 완전하게 해석해주는지입니다.
예를 들어, TON의 피싱 사이트에 대응할 때, 내 지갑 자산을 훔쳐가려는 해커의 시도에 대해 OpenMask와 TonKeeper @tonkeeper의 거래 정보 해석 결과는 다음과 같이 크게 다릅니다.
OpenMask에서는 이 거래가 일반적인 "에어드랍 수령" 거래처럼 보입니다. 하지만 정말 그럴까요?
같은 거래임에도 불구하고 Tonkeeper는 더 많은 정보를 해석하여 보여주며, 피싱 사이트가 실제로 지갑의 FISH 토큰을 훔쳐가려 한다는 사실을 성공적으로 드러냅니다.
비교해 보면, 어느 지갑을 사용하는 사용자가 더 쉽게 속임수에 넘어갈 것 같나요?
보안성이 우수한 지갑은 마치 '귀신을 비추는 거울'과 같아서, 사용자가 피싱 사기를 식별하는 데 드는 불안감을 효과적으로 줄일 수 있습니다. 최근 Keystone은 TonKeeper와의 통합을 성공적으로 완료하였으며, 하드웨어 지갑의 도입으로 TON 생태계 사용자의 보안 수준이 크게 향상될 것으로 기대됩니다.
2. 흔한 피싱 유형 주의하기
다른 공용 블록체인과 마찬가지로, 피싱은 현재 TON에서 가장 흔하며 피해자가 가장 많은 공격 형태입니다. 이번 기회에 TON에서 해커들이 사용하는 주요 피싱 수법들을 알아보겠습니다.
1. 0원 전송 피싱
해커는 다수의 주소로 0원 규모의 TON을 대량으로 전송한 후, 거래 메모란에 "http://xxxxx.com 에 접속하여 1000 TON 에어드랍을 수령하세요" 등의 내용을 남깁니다. 경험 부족한 사용자는 이를 보고 피싱 사이트에 접속한 후所谓的 수령 거래를 진행하다가 소중한 자산을 해커에게 훔쳐가는 당할 수 있습니다.
2. NFT 에어드랍 피싱
토큰 전송 외에도, 해커는 사용자 지갑에 NFT를 에어드랍하여 피싱을 시도하기도 합니다. 멋진 이미지 외에도 NFT에는 피싱 사이트의 URL이 함께 포함되어 사용자를 유인합니다.
아래 사례처럼, 사용자에게 에어드랍된 NFT에는 위조된 fragment 마켓 링크가 포함되어 있습니다. 사용자가 가짜 마켓에 접속하여 에어드랍받은 NFT를 판매하려 할 때, 해커의 함정에 빠지게 되며 NFT를 팔지도 못하고 다른 자산까지 탈취당할 수 있습니다.
3. TON 고유의 '거래 메모(comment)' 기능 주의하기
TON의 전송 거래에는 선택 가능한 comment 필드가 있는데, 이를 은행 송금 시 거래 메모라고 이해하면 됩니다. 본래는 사용자의 편의를 위한 기능이지만, 악의적인 피싱 사이트에서도 이를 악용하고 있습니다.
아래 이미지처럼, 해커는 사용자가 지갑의 FISH 토큰을 전송하도록 유도하면서 거래 메모에 "Received +xxx,xxx,xxx FISH"라는 문구를 삽입하여, 마치 현재보다 훨씬 많은 양의 FISH 토큰을 받는 것처럼 오인하게 만들고, 결국 사용자가 거래를 승인하게 만듭니다.
따라서 거래 메모에 적힌 내용을 절대 신뢰하지 말 것을 당부드립니다. 또한 앞으로 다양한 지갑 소프트웨어들이 거래 메모에 대해 더 명확한 보안 경고를 제공해주길 바랍니다.
3. 블록체인 브라우저 활용하여 사기 피싱 식별하기
이더리움에서는 보통 etherscan을 사용해 체인 정보를 확인하는데, TON에서는 tonscan과 tonviewer가 대응하는 도구입니다.
두 도구의 보안 기능을 비교하면, tonviewer가 사기 및 피싱 식별에서 더 뛰어납니다. 의심스러운 거래에는 "SUSPICIOUS"라는 경고를 표시할 뿐 아니라, 사기성 에어드랍 NFT에는 SCAM이라는 표시를 추가하여 사용자가 속는 것을 방지합니다.
반면 tonscan은 체인 정보만을 제공할 뿐, 보안 관련 경고가 부족합니다. TON 생태계에 막 진입한 사용자들에게는 tonviewer를 우선적으로 사용해 지갑 주소 정보를 확인할 것을 권장합니다.
4. 하드웨어 지갑 사용으로 보안 강화하기
어떤 공용 블록체인에서도, 하드웨어 지갑을 사용해 복구 구문(Seed Phrase)을 인터넷과 분리하고 거래를 두 번 검증하는 것은 자산을 보호하는 효과적인 방법입니다. Keystone은 TonKeeper 지갑과의 통합을 통해 TON 생태계 사용자들도 하드웨어 지갑의 보안성을 누릴 수 있게 되었습니다. 하드웨어 지갑 사용자들을 위해 다음과 같은 조언을 드립니다:
• 큰 금액의 자산은 하드웨어 지갑에 보관하세요
• Keystone의 3개 조각 복구 구문 기능을 활용해 자산을 여러 지갑에 나누어 보관함으로써 단일 실패점 위험을 방지하세요
• Keystone 디바이스에 표시되는 거래 정보를 꼼꼼히 확인하여 피싱 거래 서명을 피하세요
블록체인 세계에서는 기회와 위험이 항상 공존합니다. TON 생태계가 확장됨에 따라 우수한 프로젝트에 투자하는 동시에 자신의 자산 보호를 잊지 말아야 합니다. Keystone은 TON 생태계의 모든 관계자들과 함께 계속해서 BUIDL하며, 안전한 상호작용 환경을 공동으로 구축하고자 합니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@KeystoneCN
