이 기사의 해시(SHA1):eeeb15caf37b08bc9a9b6058c54bc433712d748fa96e7afd80531b2531946d59
번호: Chainyuan 기술 보안 지식 No.049
지난 주에는 GRASS의 마녀 반대 메커니즘, 대리 메커니즘, GRASS의 화폐 발행과 관련하여 발생한 Yuyue 도난 사건을 소개했습니다. 지난 주에 기사를 게시한 후, GRASS가 인기를 얻은 이후 AFK "제로 플레이" 프로젝트가 많이 있다는 사실을 발견했습니다. 일부 프로젝트는 수천만 달러의 자금 조달을 조달했으며, 일부 프로젝트는 자금 조달 없이 페이퍼 컴퍼니를 설립하여 허공에서 탄생했습니다. 오늘 우리가 이야기할 것은 유휴 프로젝트를 가장하여 사기를 저지르는 프로젝트들입니다.
온훅 아이템
오늘의 주제에 대해 이야기하기 전에 업계에서 더 잘 알려진 "행업 프로젝트"에 대해 언급할 필요가 있습니다. 이러한 프로젝트를 통해 사용자는 일반적으로 간단한 유휴 작업을 통해 에어드롭과 토큰 보상을 얻을 수 있습니다. 유휴 프로젝트에는 다양한 형태가 있고 구체적인 운영 방법도 다르지만 모두 일종의 리소스 공유 또는 컴퓨팅 리소스의 기여에 의존합니다.
그중 잘 알려진 AFK 프로젝트로는 Grass, DAWN, BlockJoker 등이 있습니다. 각 프로젝트는 다르게 운영됩니다.
Grass: Grass 프로젝트는 2단계 이후 공식 자체 개발 툴을 통해 구현되었으며, 데이터 전송이나 네트워크 리소스 공유를 위해 기업 및 연구 기관에 추가 대역폭을 제공했습니다. 대역폭을 제공함으로써 사용자는 토큰으로 보상을 받습니다.
DAWN: Grass와 마찬가지로 DAWN도 대역폭 공유를 기반으로 하는 프로젝트이지만 분산형 자율 무선 네트워크를 통해 가정과 기업에 대역폭을 제공하는 데 더 중점을 두고 분산형 네트워크를 형성합니다. 사용자는 자신의 네트워크 리소스를 공유하여 특정 보상을 얻을 수 있습니다.
BlockJoker: 이 프로젝트는 브라우저를 통한 하이재킹을 위한 프로젝트입니다. 브라우저에서 채굴 과정을 시뮬레이션함으로써 사용자 컴퓨터의 CPU는 해시 값을 계산하므로 사용자는 작업량 증명을 수행하여 에어드랍을 얻을 수 있습니다.
이러한 유휴 프로젝트의 매력은 대부분 사용자에게 복잡한 작업을 수행하거나 추가 자금을 투자할 필요가 없으며 일정 기간 동안 컴퓨터를 백그라운드에서 실행하기만 하면 사용자가 보상을 받을 수 있다는 것입니다. 가장 중요한 것은 이러한 보상이 일반적으로 에어드롭 토큰, 플랫폼 포인트 또는 기타 형태의 가상 자산이므로 많은 소매 사용자와 스튜디오가 참여하도록 유도한다는 것입니다.
그러나 이러한 프로젝트는 종종 "쉬운 돈"과 "투자가 필요하지 않음"을 약속하기 때문에 많은 소매 사용자가 참여하도록 유도합니다. 우리 모두 알고 있듯이 사람이 많은 곳에 사기꾼도 있습니다. 일부 공식적인 유휴 프로젝트는 합법적이고 실제 가치가 있지만 이러한 프로젝트의 인기가 높아짐에 따라 사기 및 악성 프로젝트도 많이 등장했습니다.
이러한 사기꾼 중 일부는 이 "전화 끊기" 모드를 이용하여 유사한 프로젝트로 위장하여 사용자가 악성 코드, 브라우저 플러그인을 다운로드하거나 지갑 개인 키를 가져오도록 유도합니다. 사용자가 사기에 빠지면 사기꾼은 암호화폐 자산을 훔치거나 기타 개인 정보를 얻을 수 있습니다. 이러한 범죄자들은 종종 "정규 프로젝트"의 운영자인 척하고 허위 성공 사례와 사회적 증거를 사용하여 신뢰도를 높이고 더 많은 사용자를 미끼로 끌어들입니다.
자체 개발한 WEB3 플러그인
피해자는 지난 11월 8일 당사에 연락해 AFK 프로젝트에서 속았던 경험을 털어놓고 도움을 요청했다. 일어난 일은 다음과 같습니다. 그는 Telegram 그룹의 누군가가 Grass와 비슷한 "지연 없는 프로젝트"를 공유하는 것을 보았습니다. 프로젝트 당사자는 이것이 완전히 무료 활동이며 Nodepay 프로젝트 당사자와 협력했다고 주장했습니다. 백도어 플러그인을 사용하면 Nodepay를 끊는 것보다 1.5배의 수익을 얻을 수 있습니다.
피해자가 가입한 텔레그램 그룹 사람들은 자신의 '성공 사례'를 적극적으로 공유하고 있다. 백도어 플러그인만 켜면 1.5배의 수입을 얻을 수 있고 더 많은 Nodepay 에어드랍 보상을 받을 수 있다고 한다. 피해자들은 특히 자신의 포인트 성장 기록을 자랑하는 일부 사람들을 볼 때 이 정보가 매우 신뢰할 만하다고 생각합니다. 그룹 분위기도 매우 활발했고, 어떻게 하면 포인트를 더 많이 얻을 수 있을지 논의하고 있었고, 많은 사람들이 그에게 빨리 합류하라고 권했습니다.
피해자는 그룹 친구(배우)의 안내에 따라 이 백도어 플러그인을 사용하기로 했고, 이에 따라 백도어 플러그인을 다운로드한 뒤 절차에 따라 지갑 니모닉을 백도어 플러그인에 입력했다. 백도어 플러그인의 인터페이스는 정상으로 보였고, 피해자는 별다른 의심도 하지 않고 지시에 따라 계속해서 동작했습니다.
얼마 지나지 않아 피해자는 자신의 지갑에 있는 SOL 및 ETH 자산이 다른 곳으로 이체되어 도난당한 것을 발견했습니다. 그제서야 그는 자신의 지갑의 개인 키가 사기꾼에게 노출되어 자산이 도난당했다는 사실을 깨달았습니다.
온체인 추적성 분석을 통해 피해자의 자산 손실 원인이 니모닉 문구 유출임을 확인했습니다.
현재 피해자의 자산은 여전히 사기꾼의 주소에 저장되어 있으며 아직 변경되지 않았습니다. 우리는 현재 두 개의 지갑을 모니터링하고 있으며 후속 자금이 이체된 후 추적할 것입니다. 자신의 자산 흐름을 보고 싶은 친구들도 계속해서 우리를 따라갈 수 있습니다. 새로운 트렌드가 나타나면 최대한 빨리 게시하겠습니다.
예방법
유휴 프로젝트를 위해 낚시하는 방법이 너무 많고 예방이 조금 더 복잡합니다.
일부 AFK 프로젝트에서는 위에서 설명한 것처럼 백도어 도구를 다운로드하고 니모닉 문구를 입력해야 합니다. 일부는 백도어 도구를 통해 휴대폰에 저장된 니모닉 문구를 직접 얻습니다. 일부는 서명을 통해 토큰을 승인할 수 있습니다. 서명을 통해 메인체인 코인 등을 전송할 수 있습니다. 사실 국물은 바뀌었지만 약은 바뀌지 않았습니다. 사기는 여전히 새 옷을 입은 노인들일 뿐입니다.
그렇다면 어떻게 예방해야 할까요?
우리는 여러분이 하지 말아야 할 세 가지 사항을 요약했습니다:
첫째, 어떤 프로젝트이든 니모닉 문구를 입력해야 하는 프로젝트는 사기입니다.
둘째, 서명에 GAS가 필요한지 여부에 관계없이 서명하기 전에 서명의 특정 기능을 확인해야 합니다.
셋째, 백도어 도구를 임의로 다운로드하지 마십시오. 백도어 도구는 지갑 키를 얻기 위해 스크립트를 숨길 수 있습니다. 도구를 사용하기 전에 백도어 도구의 보안을 반복적으로 확인하고 안전한지 확인하십시오.
결론
수천만 개의 AFK 프로젝트가 있고, 제로에서 돈을 버는 것은 정말 어렵습니다. Grass는 돈이 없는 것처럼 보이지만 실제로 많은 사람들이나 스튜디오가 돈을 벌기 위해 고품질 IP를 구축하는 데 많은 돈을 썼습니다. 단일 계좌에서 얻는 수입은 실제로 많지 않습니다. 그리고 많은 프로젝트들이 많은 시간을 투자했지만 좋은 수익이 나지 않아 약 1u 상당의 토큰을 에어드롭할 수도 있습니다. Grass의 지난 호에서 말했듯이 어떤 사람들은 이익이 전혀 없을 뿐만 아니라 수십만 달러의 손실을 입기도 했습니다.
그러니 친구 여러분, 이 단어를 보고 충동적으로 참여하지 마십시오. 제로 플레이는 시간이 걸릴 뿐만 아니라 때로는 비용이 들 수도 있습니다. 프로젝트 당사자의 서명 행위에 주의하고 니모닉 문구를 기재하지 않도록 주의하며, 응용 프로그램 소프트웨어 및 플러그인을 임의로 다운로드하지 마십시오.
