시드 구문을 노리는 5가지 사기와 자기 방어법
목차
시드 구문 탈취는 암호화폐에서 가장 효과적인 공격 벡터입니다. 스마트 컨트랙트 버그를 악용하거나 51% 공격을 수행하는 것과 달리, 시드 구문을 훔치는 것은 단순하고 확장 가능하며 피해자의 자금에 대한 완전하고 되돌릴 수 없는 통제권을 공격자에게 부여합니다. 여기서 설명하는 다섯 가지 사기는 시드 구문 도난 사건의 대다수를 차지합니다. 각각을 이해하고 방어 방법을 아는 것은 암호화폐를 보유하는 모든 사람에게 선택이 아닌 필수 지식입니다.
이 모든 사기는 사용자가 실제로 일어나고 있다고 생각하는 것과 실제로 벌어지는 일 사이의 격차를 이용합니다. 모든 경우의 방어는 검증입니다: 사용하는 도구, 방문하는 사이트, 상호작용하는 사람이 주장하는 대로인지 확인하는 방법을 아는 것입니다.
사기 1: 가짜 시드 구문 생성기¶
가짜 시드 구문 생성기는 합법적인 BIP39 도구처럼 보이면서 생성하는 모든 시드 구문을 비밀리에 기록하도록 설계된 웹사이트 또는 애플리케이션입니다. 공격자는 시드 구문 세트를 하드코딩하거나(모든 사용자가 공격자가 이미 알고 있는 구문을 받도록) 생성된 구문을 원격 서버로 전송합니다.
작동 방식¶
공격자는 랜덤한 시드 구문을 생성하는 것처럼 보이는 전문적인 웹사이트를 만듭니다. 가장 단순한 버전에서는 공격자가 이미 통제하는 사전 계산된 구문 목록에서 선택합니다. 더 정교한 버전에서는 Web Crypto API를 사용하여 실제처럼 보이는 구문을 생성하면서 동시에 숨겨진 네트워크 요청을 통해 엔트로피 또는 최종 구문을 공격자의 서버로 전송합니다.
피해자는 유효해 보이는 12개 또는 24개 단어의 구문을 보고, 지갑을 만들고, 자금을 입금합니다. 공격자는 해당 주소를 모니터링하고 자금을 빼냅니다.
자기 보호법¶
- 도구가 클라이언트 측인지 확인합니다. 페이지를 로드하고 인터넷 연결을 끊은 다음 구문을 생성합니다. 연결 없이 도구가 실패하면 서버 통신이 필요한 것이므로 신뢰해서는 안 됩니다. 자세한 확인 단계는 온라인 시드 구문 생성기는 안전한가?를 참조하세요.
- 네트워크 트래픽을 검사합니다. 생성하기 전에 브라우저 개발자 도구의 Network 탭을 엽니다. 생성 중에 나가는 요청이 0개여야 합니다.
- 오픈소스 도구를 사용합니다. 소스 코드가 공개적으로 감사 가능한 생성기만 사용하세요. SafeSeed의 Bitcoin Seed Phrase Generator와 Ethereum Seed Phrase Generator는 완전한 오픈소스이며 클라이언트 측입니다.
- 결과를 교차 검증합니다. 구문을 생성하고 두 개 이상의 독립적인 도구에서 동일한 주소를 생성하는지 확인합니다. 생성기가 시간이나 장소에 관계없이 항상 같은 구문을 생성하면 고정 목록을 사용하는 것입니다.
사기 2: 실제 지갑을 모방한 피싱 사이트¶
피싱 사이트는 MetaMask, Phantom 또는 하드웨어 지갑 웹 인터페이스와 같은 인기 지갑의 인터페이스를 복제하여 사용자가 기존 시드 구문을 입력하도록 속입니다. 공격자의 목표는 새로운 구문을 생성하는 것이 아니라 이미 가지고 있는 구문을 캡처하는 것입니다.
작동 방식¶
공격자는 합법적인 지갑 사이트와 매우 유사한 도메인을 등록합니다. 실제 사이트의 시각적 디자인을 복제하고 시드 구문을 입력하여 지갑을 "복원"하거나 "확인"하라는 프롬프트를 표시합니다.
이 피싱 사이트는 다음을 통해 배포됩니다:
- 지갑 관련 검색어에 표시되는 Google 및 소셜 미디어 광고
- Telegram, Discord, X(Twitter)의 가짜 지원 채널
- 지갑이 "확인" 또는 "보안 업데이트"가 필요하다는 이메일
- "MetaMask 지갑 복구" 같은 쿼리에 랭킹되는 SEO 최적화 페이지
피해자가 피싱 페이지에 시드 구문을 입력하면 공격자의 서버로 전송됩니다. 공격자는 구문을 자신의 지갑으로 가져와 보통 몇 분 안에 모든 자금을 인출합니다.
자기 보호법¶
- 어떤 웹사이트에도 시드 구문을 입력하지 마세요. 합법적인 지갑 소프트웨어는 브라우저에서 시드 구문을 입력하라고 요청하지 않습니다. 지갑 복원은 지갑 애플리케이션 내부에서 발생합니다.
- 공식 사이트를 북마크합니다. 검색 결과나 메시지의 링크가 아닌 직접 설정한 북마크를 통해서만 지갑 인터페이스에 접근합니다.
- URL을 문자별로 확인합니다. 피싱 도메인은 문자 대체(소문자
lvs1,rnvsm)와 추가 단어를 사용하여 속입니다. - 복구에는 하드웨어 지갑을 사용합니다. 지갑을 복원해야 한다면 하드웨어 장치 자체 또는 제조업체의 검증된 사이트에서 다운로드한 공식 데스크톱 애플리케이션에서 수행합니다.
사기 3: 사전 생성 지갑 카드¶
이 사기는 개인 키의 작동 방식을 아직 이해하지 못하는 암호화폐 초보자를 대상으로 합니다. 공격자는 사전 생성된 시드 구문이나 개인 키가 포함된 물리적 카드를 판매하거나 무료로 배포합니다. 이 카드는 QR 코드와 공개 주소가 있는 합법적인 페이퍼 월렛처럼 보입니다.
작동 방식¶
공격자는 수천 개의 시드 구문을 생성하고, 모두 기록한 다음, 전문적으로 보이는 카드에 인쇄합니다. 피해자는 안전한 페이퍼 월렛이 있다고 믿고 인쇄된 주소로 자금을 보냅니다. 동일한 시드 구문의 사본을 보유한 공격자는 편의에 따라 자금을 인출합니다.
자기 보호법¶
- 항상 직접 키를 생성합니다. 다른 사람이 만든 시드 구문이나 개인 키를 절대 사용하지 마세요. 유일하게 안전한 키는 자신이 통제하는 기기에서 직접 생성한 키입니다.
- 키는 비밀이라는 것을 이해합니다. 다른 사람이 시드 구문을 본 적이 있다면, 그 사람이 사본을 가지고 있다고 가정해야 합니다.
- 오프라인으로 생성합니다. SafeSeed의 클라이언트 측 도구나 다른 신뢰할 수 있는 생성기를 에어갭 머신에서 사용하여 처음부터 직접 키를 만듭니다.
사기 4: 클립보드 멀웨어¶
클립보드 멀웨어, "클리퍼"라고도 불리는 이것은 클립보드에서 암호화폐 관련 데이터를 모니터링하고 공격자의 데이터로 조용히 대체하는 악성 소프트웨어입니다.
작동 방식¶
가장 일반적인 변형은 클립보드에서 Bitcoin 또는 Ethereum 주소를 감시합니다. 결제를 위해 주소를 복사하면 멀웨어가 공격자의 주소로 대체합니다. 확인 없이 붙여넣으면 자금이 공격자에게 직접 전달됩니다.
더 위험한 변형은 시드 구문을 대상으로 합니다. 시드 구문을 복사하면 클리퍼가 캡처하여 공격자에게 전송합니다.
자기 보호법¶
- 시드 구문을 클립보드에 복사하지 마세요. 직접 손으로 적습니다.
- 붙여넣은 주소를 항상 확인합니다. 트랜잭션을 확인하기 전에 붙여넣은 주소의 처음과 마지막 여러 문자를 의도한 주소와 비교합니다. 주소 검증기를 사용하여 형식이 올바른지 확인합니다.
- 검증된 소프트웨어만 사용합니다. 공식 소스에서만 지갑 애플리케이션과 도구를 다운로드합니다. 특히 암호화폐에 사용되는 머신에서는 불법 복제 소프트웨어를 완전히 피합니다.
- 최신 안티바이러스를 실행합니다. 완벽하지는 않지만 현대적인 안티바이러스 소프트웨어는 많은 알려진 클리퍼를 감지합니다.
- 클립보드 내용을 확인합니다. 주소를 복사한 후 일반 텍스트 편집기에 붙여넣어 트랜잭션에 사용하기 전에 일치하는지 확인합니다.
사기 5: 소셜 엔지니어링 공격¶
소셜 엔지니어링은 가장 오래된 형태의 도둑질로, 암호화폐 시대에 맞게 개조된 것입니다. 공격자는 시드 구문을 자발적으로 공개하거나 키를 손상시키는 행동을 하도록 조종합니다.
작동 방식¶
가짜 기술 지원. 공격자가 지갑 제공업체, 거래소 또는 블록체인 프로젝트의 지원 직원으로 위장합니다. 문제를 "진단"하거나 신원을 "확인"하기 위해 시드 구문이 필요하다고 주장합니다. 합법적인 지원팀은 절대로 시드 구문을 요구하지 않습니다.
"갇힌 자금" 미끼. 공격자가 소셜 미디어에 시드 구문을 공개적으로 게시하며 "실수로" 공유했다고 주장합니다. 관련 지갑에는 보이는 자금이 있습니다. 누군가가 자금을 인출하기 위해 구문을 가져오면 가스 수수료가 필요한 네트워크에 토큰이 있다는 것을 발견합니다. 가스 토큰을 입금하면 공격자가 통제하는 스위퍼 봇이 즉시 입금된 토큰을 빼냅니다.
투자 멘토. 사기꾼이 소셜 미디어나 데이팅 앱을 통해 관계를 구축하고, 결국 "특별한 투자 기회"로 안내하면서 지갑 접근을 공유하거나 특정(악성) 도구를 사용하도록 유도합니다.
에어드롭 주장. 지갑을 "연결"해야 하는 무료 토큰 에어드롭을 제공하는 메시지로, 악성 dApp이 자금 이체 권한을 요청하거나 시드 구문을 입력하라고 합니다.
자기 보호법¶
- 시드 구문을 핵 발사 코드처럼 취급합니다. 합법적인 서비스, 지원팀, 친구, 가족 그 누구도 시드 구문이 필요하지 않습니다. 절대로. 어떤 이유로도.
- 요청하지 않은 도움에 회의적입니다. 특히 소셜 미디어나 메시징 플랫폼에서 암호화폐 도움을 제안하는 사람이 연락하면 입증될 때까지 사기로 가정합니다.
- 공식 채널을 통해 신원을 확인합니다. 지갑 제공업체나 거래소의 지원이 필요하면 공식 웹사이트로 직접 이동하여 거기에 나열된 지원 양식이나 채팅을 사용합니다.
- "갇힌 자금" 트릭을 이해합니다. 자금이 있는 공개적으로 공유된 시드 구문을 발견하면 미끼입니다. 보이는 토큰은 다른 토큰을 입금하지 않으면 이동할 수 없으며, 입금된 토큰은 즉시 도난당합니다.
- 스마트 컨트랙트 권한을 검토합니다. dApp이 무제한 토큰 승인이나 명시된 목적과 일치하지 않는 권한을 요청하면 트랜잭션을 거부합니다.
사용하는 모든 도구를 검증하는 방법¶
위의 모든 사기에 대한 방어는 하나의 기술로 수렴됩니다: 검증. 암호화폐 도구를 평가하기 위한 통합 접근법은 다음과 같습니다.
소스 코드 투명성¶
도구가 오픈소스가 아니면 무엇을 하는지 확인할 수 없습니다. 오픈소스 코드가 안전성을 보장하지는 않지만, 소스가 비공개인 도구는 무조건적인 신뢰를 요구합니다. 키나 시드 구문과 관련된 모든 작업에는 오픈소스 도구를 우선시합니다.
클라이언트 측 실행¶
키 생성 도구의 경우 초기 페이지 로드 후 인터넷 연결을 끊어 클라이언트 측 실행을 확인합니다. 도구가 오프라인에서 작동하면 암호화 작업이 Web Crypto API를 통해 브라우저에서 실행됩니다. 이것이 SafeSeed와 다른 신뢰할 수 있는 생성기가 사용하는 표준입니다. 엔트로피 소스가 왜 중요한지 이해하려면 암호화폐에서 엔트로피란 무엇인가?를 읽어보세요.
네트워크 동작¶
브라우저의 개발자 도구를 사용하여 모든 네트워크 요청을 모니터링합니다. 민감한 작업(키 생성, 시드 구문 표시, 트랜잭션 서명) 중에는 나가는 요청이 0개여야 합니다. 분석 서비스에 대한 요청이라도 데이터 유출의 잠재적 벡터입니다.
도메인 및 인증서 확인¶
웹사이트에 정보를 입력하기 전에 정확한 도메인 이름을 확인하고 HTTPS가 활성화되어 있는지 확인합니다. 자주 접근하는 암호화폐 도구에는 북마크를 사용합니다. 도메인을 프로젝트의 공식 소셜 미디어 계정이나 GitHub 저장소와 교차 참조합니다.
커뮤니티 평판¶
도구가 독립적인 보안 연구자에 의해 검토되었는지 확인합니다. 감사 보고서, 신뢰할 수 있는 암호화폐 포럼의 토론, 보안 중심 출판물의 언급을 찾습니다. 외부 검토와 커뮤니티 존재감이 없는 도구는 위험이 더 높습니다.
결과의 교차 검증¶
시드 구문 생성기를 사용할 때 다른 신뢰할 수 있는 도구를 사용하여 동일한 주소를 파생하여 출력을 검증합니다. SafeSeed의 Bitcoin Address Generator 또는 Ethereum Address Generator가 하나의 참조 포인트가 될 수 있습니다. 두 개의 독립적인 도구가 같은 시드 구문에서 같은 주소를 생성하면 둘 다 표준을 올바르게 구현하고 있을 가능성이 높습니다.
암호화폐 생태계의 가장 큰 강점인 셀프 커스터디는 또한 가장 큰 취약점이기도 합니다. 전화할 사기 방지 부서도 없고, 요청할 차지백도 없으며, 자금이 도난당하면 복구 과정도 없습니다. 이 다섯 가지 사기를 이해하고 검증 습관을 기르는 것이 암호화폐 보안에 할 수 있는 가장 가치 있는 투자입니다. 기본적인 키 보안 개념에 대한 추가 학습은 개인 키 보안 모범 사례와 시드 구문 vs 개인 키를 참조하세요.