주최: SafePal
"Three Body"에서 탄생한 이 우주 사회학적 법칙인 "Dark Forest"는 현재 Web3 보안 트랙의 가장 적나라한 요약이기도 합니다. 체인에는 상상력과 혁신적인 게임 플레이를 위한 충분한 여지가 있지만 동시에 피비린내 나는 잔인함으로 가득한 제로섬 게임인 '다크 포레스트'처럼, 일반 투자자들은 '사냥꾼'으로서 정보 비대칭적 역할을 더 많이 맡는다.
11월 16일, 많은 커뮤니티 사용자들은 온체인 거래 터미널 DEXX가 도난당했다고 보고했습니다. 이벤트 후 분석에 따르면 DEXX 개인 키 관리에 명백한 허점이 있었고 심지어 일반 텍스트로 전송 및 저장되기도 했습니다. 지금까지의 총 손실액은 2천만 달러 이상으로 불완전하게 계산되었습니다.
이러한 맥락에서 일반 사용자가 체인의 자기 보호 메커니즘을 어떻게 향상시킬 수 있는지가 큰 관심사가 되었습니다. SafePal 공동 창업자이자 CEO인 Veronica도 주최한 𝕏 Space 이벤트 "DEXX 사건으로 인해 촉발된 보안 생각"에 참여했습니다. 137Labs 작성: 암호화폐 투자에서 "구덩이"를 피하는 방법, BlockSec 창립자 Andy, 선임 트레이더 클럽 형제, 137Labs 연구원 OneOne 등과 함께 DEXX에 대해 논의하세요. 보안 사고를 예방하고 암호화폐 투자자에게 실질적인 보안 조언을 제공합니다.
이 기사는 이 트위터 스페이스에서 게스트들이 공유한 멋진 내용을 요약한 텍스트이며, 독자의 이익을 위해 편집되었습니다.
선두에 있는 봇 툴의 “견딜 수 없는 무게”
암호화폐 투자에서는 높은 수익과 절대적인 보안의 균형을 맞추는 것이 어려운 경우가 많습니다. DEXX 및 Unibot과 같은 트레이딩 봇 도구는 원클릭 후속 조치 및 빠른 자금 이체로 사용자의 호감을 얻었지만 이러한 편리함은 중앙 집중식 아키텍처로 인해 사용자에게 자금을 승인하거나 지갑 액세스 권한을 제공하도록 요구하면 자산 위험이 크게 증가합니다.
사용자는 일반적으로 이러한 거래 도구의 보안 요구 사항을 과소평가하고 대규모 거래소를 신뢰하는 데 익숙하지만 소규모 도구 플랫폼의 위험을 무시합니다. DEXX 사건은 일부 거래 도구의 개인 키 관리에 치명적인 허점을 노출시켰습니다. - 관리형 지갑'은 개인 키가 중앙 집중식 서버에 의존하지 않고 사용자의 장치에만 저장되도록 해야 합니다. 개인 키가 암호화되어 있고 메모리 수준 보안 보호(예: TEE 또는 엔클레이브)에 대한 기술 지원이 부족하더라도 , 여전히 해킹 가능성을 피할 수 없습니다.
동시에, 공격 방법은 복잡하며, 해커들은 추적의 어려움을 높이기 위해 자금을 분산시킵니다. 이는 자금 회수를 더욱 어렵게 만들 뿐만 아니라 향후 유사한 사건이 더욱 복잡하고 어려울 수 있음을 나타냅니다. 이를 방지하기 위해 두 가지 가능성이 발생합니다. 기술적 취약점으로 인해 플랫폼이 침해되거나 내부 도난 또는 심층 침투가 발생하는 경우 향후 위험이 더 심각할 수 있습니다.
Dune 데이터에 따르면 현재 거래량 기준 상위 5개 봇은 Trojan, BonkBot, Maestro, Banana Gun 및 Sol Trading Bot입니다. 7일 거래량은 미화 1억 달러 이상이며 누적 사용자 수는 1억 달러입니다. 이런 식으로 "큰 이익을 얻거나 모든 것을 잃습니다"라는 사고 방식으로 인해 대부분의 사용자는 잠재적으로 큰 위험을 무시하게 됩니다.
출처: 모래 언덕
Veronica는 이러한 "선두 실행" 거래 도구가 거의 모두 유사한 보안 위험에 직면할 수 있다고 믿습니다. 이러한 봇이 초고속 온체인 거래를 달성하고 매번 수동 서명을 피할 수 있는 이유는 관리되지 않는 보안의 일부를 희생하기 때문입니다. 특징:
일반적으로 하드웨어 지갑, APP 지갑 또는 브라우저 플러그인 지갑을 사용하든 사용자는 수동으로 서명하고 확인하는 데 몇 초가 소요됩니다. 그러나 거래 속도를 높이고 사용자 경험을 최적화하기 위해 이러한 봇은 일반적으로 손상을 입히고 최소화합니다. 더 빠른 거래를 달성하기 위해 일부 개인 키의 보안.
이 설계는 완전히 잘못된 것도 아니고 단순히 이러한 프로젝트가 안전하지 않다고 말할 수도 없습니다. 그러나 개발팀이 원활하게 경험을 할 수 없다면 개발팀의 보안 보호 역량에 대한 요구가 매우 높습니다. 강력한 보안 공격 및 방어 보장 일단 능력이 공격당하면 그 결과는 극도로 심각할 것이며 사용자와 프로젝트 당사자 모두 막대한 손실을 입을 수 있습니다.
또한 대부분의 거래 봇의 현재 설계는 상당한 보안 위험에 직면해 있습니다. 자동화된 거래를 실현하기 위해 일반적으로 각 사용자의 개인 키를 생성하고 보관합니다. 이 방법은 사용자가 자동으로 주문을 따르는 데 편리하지만 그렇지 않습니다. 또한 공격자가 플랫폼에 침입하면 저장된 모든 사용자 개인 키가 유출되어 자산 손실이 발생할 수 있습니다.
이미지 출처: DEXX " 지갑 관리 " 페이지
그러나 실제로는 사용자의 개인 키를 사용하지 않고 거래를 자동화할 수 있는 보다 안전한 거래 아키텍처가 있습니다.
이 아키텍처는 스마트 계약을 기반으로 하며 사용자 계정과 연결된 "PDA 계정"을 생성하면 사용자의 개인 키 서명 없이도 거래가 완료될 수 있습니다. 플랫폼은 제한된 "작업 계정"을 통해 거래 지시를 실행할 수 있습니다. 계좌 운영은 엄격하게 통제되며 거래 운영만 가능하며 사용자 자산을 마음대로 양도할 수 없습니다.
이 스마트 계약 기반 설계는 사용자의 개인 키가 항상 자신의 손에 있고 중앙 집중식 서버에 저장되지 않기 때문에 보안을 크게 향상시킬 수 있습니다. 비록 이 설계는 더 복잡하고 팀의 엔지니어링 능력과 보안 기술이 더 높아야 합니다. , 하지만 완전히 실행 가능하고 안전합니다.
현재 대부분의 사용자는 이 두 가지 디자인 모드의 차이점을 모르거나 편의성을 추구하여 보안을 무시합니다. 그러나 보안 사고가 자주 발생함에 따라 사용자와 개발팀은 보다 안전한 아키텍처에 점점 더 많은 관심을 기울일 수 있습니다. 이 고급 설계 솔루션은 향후 점차 대중화되어 유사한 DEXX 사고 발생을 줄일 것으로 예상됩니다.
거래 승인부터 개인 키 보호까지 Web3 보안 체인
OneOne은 현재 온체인 보안 위험이 거래 승인부터 개인 키 보호에 이르기까지 두 가지 주요 범주로 나눌 수 있다고 믿습니다.
첫 번째 일반적인 공격 방법은 "스푸핑 승인"입니다. 예를 들어, "더스트 공격"을 통해 소량의 암호화된 자산을 보내거나 NFT를 에어드랍하여 사용자의 클릭을 유도하고 거래를 승인하는 작업을 통해 공격자가 사용자의 지갑을 탈취할 수 있습니다. 사용자는 출처를 알 수 없는 토큰과 에어드랍을 처리할 때 주의하고 쉬운 인증을 피해야 합니다.
개인 키는 일반적으로 여러 가지 방법으로 도난당합니다.
첫 번째는 "맬웨어 공격"입니다. 일부 공격자는 사용자를 속여 새 프로젝트를 테스트하고 트로이 목마 바이러스가 포함된 실행 파일을 다운로드하도록 속입니다. 일단 속으면 사용자의 개인 키와 계정 비밀번호를 쉽게 훔칠 수 있습니다.
두 번째 유형은 '클립보드'이다. 공격자는 피싱 사이트를 통해 사용자의 클립보드 접근권한을 획득한다. 사용자가 개인 키를 복사하여 붙여넣으면 공격자가 이 민감한 정보를 가로채서 사용할 수 있습니다.
또한, 악성 원격 소프트웨어를 통해 사용자의 컴퓨터를 조종하거나 심지어 사용자가 쉬고 있을 때 개인 키를 직접 훔치는 등의 '원격 제어 공격' 사례도 있습니다. 예를 들어 Lu Airdrop 사용자가 흔히 사용하는 '지문 브라우저'가 있습니다. 일반적으로 클라우드 스토리지 기능과 관련이 있습니다. 침해되면 사용자의 자산을 쉽게 도난당할 수 있습니다. 많은 사용자가 이러한 도구를 사용할 때 2단계 인증(2FA)을 설정하지 않아 위험이 더욱 악화됩니다.
마지막으로 "입력 방법에 숨겨진 위험"이 있습니다. 많은 사용자가 스마트 입력 방법을 선호하지만 이러한 입력 방법은 사용자의 입력 데이터를 수집하여 클라우드에 저장할 수 있으므로 개인 키 유출 가능성도 높아지는 것이 좋습니다. 사용자가 사용하려고 하는 입력 방법은 시스템에 포함된 입력 방법의 기능이 적지만 더 안전합니다.
일반적으로 사용자는 체인에서 거래할 때, 특히 DeFi 애플리케이션이나 거래 도구를 사용할 때 추가적인 보안 예방 조치를 취해야 합니다. 이더리움 메커니즘에서는 사용자가 스마트 계약에 토큰 승인을 부여해야 하기 때문에 승인 관리는 큰 주의가 필요한 문제입니다. 공격자는 이 인증 메커니즘을 사용하여 악의적인 작업을 수행할 수 있습니다. 따라서 사용자는 항상 지갑의 인증 목록을 확인하고 더 이상 필요하지 않은 인증, 특히 잊어버린 초기 인증을 취소하여 위험을 줄여야 합니다.
또한 사용자가 DeFi 플랫폼을 선택할 때 완전한 감사 보고서가 있는지, 지속적으로 자동화된 보안 모니터링이 있는지, 플랫폼이 정기적으로 업그레이드하고 취약점을 수정하는지 등 플랫폼의 보안 조치를 검토해야 합니다. 그리고 트레이딩 봇을 사용할 경우, 사용자는 자산을 다각적으로 관리하고, 트레이딩 로봇이 관리하는 계좌에 많은 양의 자금을 보관하지 않는 것이 좋습니다. 수익을 낸 후에는 최대한 빨리 안전한 지갑으로 자금을 이체하여 이를 줄이는 것이 좋습니다. 가능한 손실.
Huishuo 형제는 트레이더로서 트레이딩 도구와 플랫폼의 메커니즘을 잘 아는 것이 중요하다고 말했습니다. 현재 트레이딩 환경에서는 많은 사람들이 트레이딩 도구의 안전 위험을 무시하고 급격한 상승과 급락의 즐거움에만 집중하고 있습니다. 사용자는 언제든지 위험을 통제하기 위해 수영장 비우기 또는 청산 경고와 같은 안전 경고를 설정해야 합니다.
베로니카는 간단하지만 중요한 원칙을 강조했습니다. 효율적인 이익 추구와 포괄적인 보안 사이에는 항상 절충안이 있기 때문에 가장 중요한 조언은 자금을 분리하는 것입니다. 과도한 투자 포지션으로 인해 잠을 이루지 못하는 경우가 많습니다. 불안해지면 귀하의 자본 할당이 위험 허용 범위를 초과했을 가능성이 높습니다.
실용적인 온체인 보안 쿼리 도구에는 어떤 것이 있나요?
Veronica는 사용자에게 정기적으로 승인 확인 기능과 같은 비수탁형 지갑에 내장된 보안 도구를 사용할 것을 권장합니다. 사용자는 여러 체인에 있는 모든 승인 기록을 스캔하고 클릭 한 번으로 불필요한 승인을 취소하여 해킹을 줄일 수 있습니다. . 착취의 위험.
이미지 출처: SafePal "승인 관리자" 기능
또한 사기꾼들은 자금을 사기 위해 사용자의 이체 주소로 위장하기 위해 소액 이체를 사용하는 경우가 많습니다. 현재 OKX Web3 Wallet 및 SafePal과 같은 주류 지갑에는 "헤드 투 테일 공격"을 위한 위험한 거래 차단 서비스가 추가되어 있습니다. 동시에 하드웨어 지갑 + 암호(Passphrase)는 소수의 사람들만이 알고 있는 기능이지만 매우 실용적이며 특히 여러 통화 거래 계정을 가진 사용자에게 적합합니다.
13번째 단어로 원래의 12개의 니모닉 단어와 암호를 조합하여 새로운 지갑 주소를 생성합니다. 누군가가 귀하의 니모닉 단어를 획득하더라도 암호가 없으면 해당 자산에 접근할 수 없으므로 사용자는 이를 사용할 수 있습니다. 보안을 보장합니다.
이 방법은 개인 키의 보안을 강화할 뿐만 아니라 사용자가 여러 계정에 걸쳐 자산을 유연하게 관리할 수 있도록 하며 암호는 사용자의 마음에만 존재할 수 있어 보안이 더욱 향상됩니다.
Andy는 또한 사용자가 보안 사고에 직면하는 경우가 많으며 이는 프로젝트 자체의 위험 외에도 사용자가 많은 암호화폐를 보유하고 있음을 깨닫거나 알고 있는 경우에도 사용자 자신의 보안 습관 부족과 관련이 있을 수 있다고 강조했습니다. 투자거래는 위험하다고 생각하지만, 여전히 나쁜 습관으로 인해 자산이 위험에 노출되는 경우가 많습니다.
직접적인 자금 이체가 아닌 상호작용용으로만 사용되는 콜드월렛에 대량의 자산을 보관하는 등 격리된 보안 인식과 습관을 유지하는 것이 좋습니다. 암호화폐 거래나 개인키 관리 시에는 거래와 관련 없는 다른 소프트웨어를 설치하거나 다른 활동을 하지 마세요. 그렇게 하면 개인키 유출 위험을 크게 줄일 수 있습니다. .
결론
DEXX 보안 사고는 온체인 거래 도구 분야의 핵심 딜레마, 즉 편의성과 보안 사이의 균형을 찾는 방법을 드러냈습니다.
효율적인 거래와 사용자 경험을 추구하는 동안 플랫폼의 보안 설계는 개인 키의 중앙 집중식 저장이든 메모리 수준 보호 부족이든 기술적인 단점으로 인해 사용자 자산이 높은 위험에 노출될 수 없습니다.
"높은 수익과 절대적인 보안 사이에는 항상 절충안이 있습니다." 투자자에게는 거래 도구 뒤에 있는 위험 논리를 이해하고 좋은 보안 습관을 기르는 것이 이 분산화 생태계에서 "어두운 숲"을 횡단하는 기초입니다. 불확실성으로 가득 찬, 자신의 개인 키를 제어해야만 자산을 진정으로 제어하고 전체 체인 생태계의 건강한 발전을 촉진할 수 있습니다.
