도난당하고 나서 후회하지 마세요: Web3 보안 방지 가이드
저자: Ye Su
Bybit이 15억 달러를 해킹당한 후, 신용이 좋은 infini가 또다시 공격을 받았다.
나도 몇 년 전 해킹으로 인해 큰 손실을 본 적이 있다. 오늘 아침 회사에서 내부 보안 교육을 진행하면서, 나의 실제 경험과 예방 지침을 공유하고자 한다.
최근 2년간 등장한 새로운 범죄 수법
1. 친구 사칭 (Social Engineering)
해커는 자주 고객센터, 유명인사, 친구, 투자 기회 등을 가장하여 개인키 또는 복구 문구(마스터 키)를 탈취한다. 낯선 링크를 클릭하지 말고 항상 경계해야 한다.
가장 방어하기 어려운 공격이며, 우리 회사도 해커가 트위터/TG를 모방하여 다이렉트 메시지로 사기를 시도한 사례가 있었다. 해커는 일반적으로 전화 미팅이나 투자 기회 제안을 빌미로 위조된 데크(deck), 줌(zoom) 링크 및 웹사이트를 보내 바이러스를 설치한다.
2. 내부 침투
북한 해커의 최후 수단으로, 한 주요 CEX 창립자가 직접 공유한 내용이다. 해커는 이력서를 제출해 회사에 취직한 후 잠복하며, 주로 자산 관리, 보안 구조 또는 재무 부서에 배치된다. 약 반년 후 내부에서 범행을 실행한다.
3. 유사 주소
해커는 몇 초 안에 앞 5자리와 뒤 5자리가 완전히 동일한 주소를 생성할 수 있다. 예를 들어, 0x1234로 시작하고 56abc로 끝나는 주소 10개를 만들 수 있다.
해커는 대체로 고액 지갑의 거래를 모방하여 유사 주소로 피싱을 시도하므로, 반드시 거래 시 Txid와 주소 중간의 최소 5~6자리를 확인하고, 가능하면 모든 단계에서 검증해야 한다.
4. 공용 Wi-Fi
공용 Wi-Fi 사용은 피하고, 악성코드나 트로이 목마로 인한 자산 유출을 방지해야 한다. Wi-Fi는 기기로 직접 침입이 가능하므로 호텔, 파티장, 혹은 타인의 집 Wi-Fi도 조심해야 한다. 가급적 본인의 핫스팟을 자주 활용하는 것이 좋다.
원칙 수립
1. 제로 트러스트 원칙
블록체인 세계에서는 누구나 혹은 어떤 도구라도 쉽게 믿어서는 안 되며, 모든 거래 및 서명 작업은 독립적인 검증을 거쳐 출처의 신뢰성을 확보해야 한다.
친구(homie)가 다이렉트 메시지로 돈을 먼저 지불해 달라고 요청해도 반드시 전화/영상/대면으로 확인해야 한다.
2. 군자는 위험한 담 아래에 서지 않는다
소문(자산 유출/손실)이 돌면 즉시 리스크 발생 위치에서 멀어져야 하며, 안전을 확보한 후 다른 문제를 고려해야 한다.
절대로 "너무 커서 무너질 수 없다(but too big to fail)"는 믿음을 가져서는 안 된다. FTX 붕괴 당시 ArkStream과 나는 첫날 출금함으로써 피해를 면할 수 있었다.
나머지 기본적인 예방 조치는 SlowMist의 블록체인 다크 포레스트 자기보호 매뉴얼을 참고할 수 있다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@allen_su1024
