귀하의 암호화폐 자산이 도난당한 적이 있나요?
SlowMist 보안팀이 발표한 최신 데이터에 따르면 2025년 1월에 총 40건의 Web3 보안 사고가 발생했으며, 손실액은 8,794만 달러에 달했습니다. 해킹의 이유로는 계약상의 허점, 계정 해킹, 개인 키 유출 등이 있었습니다. 또한 이번 달 피싱 사고로 인한 피해자가 9,220명이었으며, 피해액은 총 1,025만 달러에 달했습니다.
최근 몇 년 동안 Web3 보안 사고가 자주 발생하며 암호화된 지갑의 보안 문제가 점점 더 두드러지게 나타났습니다.
모든 Web3 투자자가 피할 수 없는 도구인 암호화폐 지갑은 암호화폐 자산을 보호하는 핵심 방어선일 뿐만 아니라, Web3 시대의 가장 중요한 열쇠이기도 합니다. 바로 이러한 중요성 때문에 암호화폐 지갑은 가상 자산 도난의 주요 공격 대상이 되었습니다. 니모닉 손실, 가짜 지갑 함정, 권한 탈취 등이죠. 조심하지 않으면 하룻밤 사이에 자산이 모두 없어질 수 있습니다.
모든 사람의 가상 자산의 안전을 위해, 이 글에서 Portal Labs는 암호화된 지갑의 주요 사용 시나리오에서 시작하여 가장 흔한 지갑 위험을 나열하고 디지털 자산을 보호하는 데 도움이 되는 실용적인 제안을 제공합니다.
니모닉 관리의 숨겨진 위험
이전 글에서 우리는 지갑의 니모닉 문구를 잘 보관해야 한다고 여러 번 언급했습니다. 니모닉 문구는 암호화된 지갑의 가장 중요한 자산 증명서이며 지갑을 복구하는 열쇠이기 때문입니다. 새로운 기기에서 암호화된 지갑을 열면 니모닉 문구를 가져와야 합니다(개인 키는 숫자와 문자의 조합으로 되어 있어 기억하고 입력하기 쉽지 않기 때문입니다).
그러나 우려되는 점은 많은 사용자가 니모닉을 저장할 때 심각한 보안 취약성을 겪고 있다는 것입니다.
가장 흔한 실수는 니모닉 문구를 클라우드 메모, 이메일, 소셜 소프트웨어의 채팅 기록 등 온라인에 저장하는 것이거나 심지어 스크린샷을 직접 찍어 사진 앨범에 저장하는 것입니다. 이런 방법은 편리해 보이지만 실제로는 매우 위험합니다. 기기가 해킹당하면 니모닉 문구가 자동으로 스캔되어 추출되어 지갑 자산을 직접 훔치는 데 사용될 가능성이 높습니다.
게다가, 백업이 부족한 것도 큰 숨겨진 위험입니다. 일부 사용자는 기억술을 종이에 적은 다음 서랍이나 지갑, 책 사이에 넣어두기도 하고, 사진을 찍어서 종이를 버립니다. 그러나 일반 종이는 매우 취약하며, 한곳에 오랫동안 보관할 경우 분실, 도난 또는 우발적 손상의 위험도 있습니다.
그렇다면 니모닉을 올바르게 저장하려면 어떻게 해야 할까요?
먼저, 손으로 쓴 백업을 만들어 두고 클라우드, 소셜 소프트웨어, 이메일이나 인터넷에 연결된 장치에 저장하지 않도록 하세요.
두 번째로, 내구성 있는 저장 매체를 선택할 수 있습니다. 물론 반드시 금속 니모닉 백업 보드를 사용할 필요는 없습니다. 종이 한 장보다는 좋은 노트를 선택하는 것이 좋습니다.
또한, 여러 장의 사본을 만들어 여러 개의 안전한 장소(예: 금고, 보관 상자)에 보관하여 적어도 한 곳에서 찾을 수 있도록 하세요.
마지막으로, 백업 상태를 정기적으로 확인하여 기록이 읽을 수 있고 안전한 장소에 보관되어 있는지 확인하세요.
승인 및 거래
Web3 세계에서 암호화폐 지갑은 단순히 돈을 저장하는 도구가 아니라 다양한 상호작용을 수행하는 데 필요한 자격 증명이기도 합니다. DeFi에 참여하든, NFT를 구매하든, 에어드랍을 청구하든, 많은 작업에서는 스마트 계약과 상호 작용하기 위해 암호화폐 지갑을 "인증"해야 합니다.
하지만 모든 "권한"이 엄청난 보안 위험을 숨길 수 있다는 걸 생각해 본 적이 있나요?
간단히 말해서, 스마트 계약이 귀하의 지갑에 액세스하도록 승인할 때 실제로는 계약에 "내 지갑에서 특정 작업을 수행하도록 허용합니다."라고 말하는 것입니다. 계약이 안전하다면 문제가 없습니다. 하지만 신중하게 위장한 피싱 계약을 승인하면 승인이 완료된 후 1초 이내에 해당 계약이 귀하의 지갑에 있는 모든 자산을 직접 이체할 가능성이 매우 높습니다.
최근 들어 이와 같은 피싱 사건이 잇따라 발생하고 있으며, 특히 유명 프로젝트의 에어드랍 전후에 수많은 '가짜 에어드랍' 웹사이트가 등장하여 사용자에게 지갑 인증을 하도록 유도하는 사례가 늘고 있습니다. 이른바 "수신 에어드롭"은 실제로는 직접 전송을 위한 함정입니다.
그러면 이를 어떻게 피할 수 있을까?
익숙하지 않은 웹사이트의 지갑을 함부로 허가하지 말고, 잘 알려진 프로젝트와 감사를 거친 dApp을 우선시하세요. "에어드랍을 받는다" 또는 "혜택을 분배한다"고 주장하는 모든 웹사이트에 대해 두 번 생각해 보세요. 특히 지갑 인증이 필요한 웹사이트는 더욱 그렇습니다. 먼저 커뮤니티와 포럼에서 프로젝트의 진위 여부를 검색해 보세요.
계약 내용을 확인하여 귀하의 자산에 직접 영향을 미치지 않는지 확인하세요. 필요한 경우 블록체인 브라우저(예: Etherscan)를 사용하여 계약 주소를 확인하는 것이 좋습니다.
불필요한 권한을 취소합니다. 계약을 승인한 경우에도 Revoke.cash와 같은 도구를 사용하여 위험도가 높은 계약에 대한 접근 권한을 정기적으로 확인하고 취소할 수 있습니다.
가짜 지갑 사기
Web3 세계에서 암호화폐 지갑은 단순히 '디지털 은행'이 아니라 신원 증명이기도 합니다. 하지만 다운로드한 지갑이 공식 앱이 아니라, 신중하게 위장한 "피싱 함정"일 수도 있다는 걸 생각해 본 적 있나요?
최근 들어, 점점 더 많은 사용자가 자신도 모르게 가짜 암호화폐 지갑 애플리케이션을 다운로드하고 있습니다. 그 결과, 해커는 지갑을 생성하자마자 니모닉 문구를 얻었고, 자산은 해커에 의해 감시되었습니다. 또는 니모닉 문구가 수입되면 지갑이 즉시 하이재킹되어 계정이 즉시 비워집니다. 이런 사기에 쓰이는 수법은 여러분이 생각하는 것보다 훨씬 더 은밀하고 정교합니다.
그러면 가짜 지갑의 함정에 빠지지 않으려면 어떻게 해야 할까요?
가장 중요한 원칙은 물론 공식 채널에서만 지갑을 다운로드하는 것입니다. MetaMask의 공식 웹사이트 metamask.io, Trust Wallet의 공식 웹사이트 trustwallet.com, Ledger의 공식 웹사이트 ledger.com과 같은 소셜 미디어의 검색 엔진 광고나 홍보 링크를 신뢰하지 마십시오.
동시에 URL을 확인하는 습관도 키우는 것이 좋습니다. 해커는 종종 metamask-wallet.io와 trustwallets.com과 같이 공식 웹사이트를 위조하는 데 유사한 도메인 이름을 사용하는데, 이러한 도메인은 정규 도메인처럼 보이지만 실제로는 악성입니다. 추가적인 방지를 위해 MetaMask에 내장된 피싱 방지 플러그인이나 PhishFort와 같은 Web3 사기 방지 도구를 설치할 수도 있습니다. 이러한 도구는 피싱 함정에 빠지는 것을 방지하기 위해 의심스러운 웹사이트를 방문할 때 자동으로 알림을 보냅니다.
모바일 사용자의 경우 알 수 없는 출처에서 APK 파일을 다운로드하지 마세요. 해커가 지갑 애플리케이션을 코드 수준에서 수정하고 악성 스크립트를 심어 지갑이 생성되거나 가져온 후에 해킹될 수 있기 때문입니다. iOS 및 Android 사용자는 항상 App Store 또는 Google Play를 통해 공식 앱을 다운로드하고 설치 후 지갑의 개발자 정보가 공식 정보와 일치하는지 확인하는 것이 좋습니다.
또한, 암호화폐 지갑의 브라우저 플러그인 버전을 마음대로 설치하지 마세요. 일부 가짜 플러그인은 거래 시 지갑 인증을 하이재킹하고, 지불 주소를 변조하고, 사용자의 동의 없이 자산이 해커 계정으로 유입되도록 할 수 있습니다.
지갑을 더 안전하게 만들기 위해 단계별로 "함정"을 피하세요
암호화폐 지갑에는 많은 함정이 있지만, 각 함정 뒤에는 그에 맞는 해결책이 있습니다. 위의 지침을 배우고 따르기 위해 시간을 들이려는 의지가 있다면 위험을 크게 줄일 수 있습니다. 니모닉 문구를 보호하고, 모든 권한 부여에 주의하고, 신뢰할 수 있는 도구와 서비스를 선택하는 것이 좋습니다. 이렇게 하면 Web3 투자 여정이 보다 안전하고 안정적일 수 있습니다.
다음으로, Portal Labs는 여러분의 Web3 투자를 보호하기 위한 보안 도구 기사를 계속해서 작성할 것입니다. 기대해주세요!
