지갑 드레너란 무엇인가? 승인 피싱 산업의 내부

3시간 전
5분 읽기
3 조회수

지갑 드레너의 개요

지갑 드레너는 암호화폐 사용자로부터 수십억 달러를 훔치는 악의적인 도구입니다. 이들은 도난당한 비밀번호나 해킹된 블록체인과는 관련이 없으며, 피해자들이 이해하지 못하는 거래에 서명하도록 유도하는 방식으로 작동합니다. 이 가이드는 드레너의 작동 원리, 그들이 악용하는 토큰 승인 메커니즘, 도난을 산업화한 드레너 서비스 산업, 공격자에게 모든 것을 제공하는 특정 서명, 지갑을 보호하는 방법 및 위험한 승인을 취소하는 방법을 설명합니다.

드레너의 작동 원리

암호화폐에서 가장 성공적인 도난 기술은 해킹이 아닌, 피해자가 승인하는 것입니다. 지갑 드레너는 단일 승인 거래로 암호화폐 지갑의 토큰과 NFT를 비우는 도구로, 수십만 명의 피해자로부터 수십억 달러를 훔쳤습니다. 주목할 만한 사실은 블록체인이 완벽하게 작동하고 암호화가 유지되며 비밀번호가 도난당한 적이 없다는 것입니다. 피해자는 도난을 승인하는 거래에 서명하도록 속았고, 체인은 설계된 대로 정확하게 승인을 실행했습니다.

“드레너 시대의 정의적 특징은 공격 표면이 프로토콜에서 개인으로 이동했다는 것입니다.”

토큰 승인 메커니즘

드레너를 이해하려면 토큰 승인을 이해해야 합니다. 왜냐하면 전체 공격이 합법적이고 필요한 기능의 남용이기 때문입니다. 분산형 애플리케이션, DEX, 대출 프로토콜, NFT 마켓플레이스를 사용할 때, 그것은 귀하의 토큰을 대신 이동할 수 있는 권한이 필요합니다. 모든 거래를 개별적으로 승인하는 대신, 표준 메커니즘은 스마트 계약에 특정 토큰의 최대 금액을 지출할 수 있는 허가를 부여할 수 있게 해줍니다.

드레너 서비스 산업

드레너는 이러한 변화의 산업화된 산물로, 피해자를 유인하기 위한 피싱 인프라와 그들이 승인하는 즉시 자산을 쓸어가는 스마트 계약이 포함된 서비스로 판매되는 포장된 도구들입니다. 드레너 서비스는 지갑 도난을 산업화한 비즈니스 모델입니다. 숙련된 개발자들이 악의적인 계약, 피싱 템플릿, 자산 쓸어가기 자동화, 심지어 지원까지 포함한 완전한 드레너 키트를 구축하고, 이를 비기술 범죄자에게 도난 자금의 일부를 받고 임대합니다.

드레너 공격의 과정

드레너 공격은 일관된 순서를 따릅니다. 유인으로 시작됩니다: 피해자는 지갑을 연결하고 서명하도록 유도하는 무언가를 접하게 됩니다. 실제 프로젝트의 웹사이트의 가짜 버전, 사기성 에어드롭 청구, 해킹된 소셜 미디어 계정의 악의적인 링크 등이 있습니다. 유인의 목적은 피해자를 합법적인 행동을 하고 있다고 믿게 하면서 지갑 서명 프롬프트 앞에 두는 것입니다.

위험한 서명과 방어책

모든 악의적인 서명이 동일하지 않으며, 가장 위험한 서명은 이름으로 아는 것이 가치가 있습니다. 무제한 승인은 고전적인 것입니다: 특정 토큰의 무제한 수량을 지출할 수 있는 권한을 계약에 부여하는 서명입니다. 합법적인 애플리케이션은 때때로 편리함을 위해 이러한 요청을 하며, 이는 바로 그것이 위험한 이유입니다.

드레너로부터 지갑을 보호하는 것은 일련의 습관과 대부분의 사용자가 한 번도 수행하지 않은 유지 관리 작업으로 귀결됩니다. 모든 서명 요청을 형식이 아닌 결정으로 취급하고, 긴급한 상태에서 서명하지 않으며, 긴급성이 공격이라는 것을 인식해야 합니다. 거래를 해독하고 시뮬레이션하여 서명이 실제로 무엇을 할 것인지 명확한 언어로 보여주는 지갑을 사용하여 블라인드 서명 취약점을 직접 공격하고, 읽을 수 없는 것은 서명하지 않아야 합니다.

결론

정직한 요약은 드레너가 암호화폐 도난의 성숙한 형태라는 것입니다. 암호화폐의 암호화가 깨질 수 없는 시대에, 산업은 코드를 철저히 보호하여 범죄자들이 이를 포기하고 인간에게로 전환하게 만들었습니다. 방어는 인간적이며, 정보에 기반한 의심, 읽을 수 있는 거래, 최소한의 노출 및 취소된 승인으로 구성됩니다.

이 가이드는 그 매뉴얼입니다. 면책 조항: 이 기사는 교육 목적으로만 제공되며 투자 또는 보안 조언을 구성하지 않습니다. 디지털 자산의 자가 보관은 상당한 위험을 수반하며, 어떤 관행도 이를 제거하지 않습니다.