「고가」 에어드랍은 암호화폐 함정 설정, 권한 부여 작업은 신중해야 합니다

저자：카일

편집：문도

Uniswap, 1inch, dydx와 같은 DeFi 프로토콜이 사용자에게 에어드랍 보상을 제공한 이후, 체인 상의 사용자들은 에어드랍의 존재에 익숙해졌지만, 출처가 불분명한 에어드랍은 사용자의 지갑을 비울 수 있습니다.

9월 10일, 투자자 아페이는 에어드랍 사기를 당했습니다. 그는 지갑에 75만 개의 Zepe 토큰이 나타난 것을 발견했고, 지갑은 10만 달러가 넘는 가치로 표시되었습니다. 아페이는 이것이 뜻밖의 재산이라고 생각했지만, 탈중앙화 거래소에서 판매할 수 없다는 것을 알게 된 후, 그는 토큰과 동일한 이름의 웹사이트에 로그인하여 거래를 승인했지만, 그 후 그의 주소에 있는 자산이 모두 이동되었습니다.

소셜 네트워크에서는 여러 사용자들이 같은 함정에 빠졌다고 자백했으며, 어떤 사람은 7만 개의 USDT를 잃었다고 합니다. 벌집 금융은 Zepe 계약이 수락하는 토큰 주소를 조회한 결과, 최근 16.5만 개의 USDC와 13개의 BNB가 전송된 것을 발견했으며, 이는 의심스러운 자금 이동으로 보입니다.

실제로 최근 유사한 에어드랍 사기가 빈번하게 발생하고 있으며, 많은 사용자들이 지갑 주소에 대량의 불명확한 토큰이 나타났다고 보고하고 있습니다. 블록체인 보안 기관 PeckShield는 벌집 금융에 이 토큰들이 일반적으로 사용되는 DEX에서 거래할 경우 실패하며, 페이지는 사용자에게 해당 웹사이트에서 교환하라고 안내한다고 밝혔습니다. 이후 사용자가 거래를 승인할 때, 종종 스마트 계약에 계좌 자산을 이동할 수 있는 권한을 부여하게 되어 자산이 도난당하게 됩니다.

PeckShield는 사용자가 체인 상의 프로토콜과 상호작용할 때 과도한 권한 부여를 하지 말고, 정기적으로 사용하지 않는 Dapp의 권한을 취소하며, 사기꾼의 "변장"을 방지하는 데 주의할 것을 권고합니다.

다수의 사용자가 Zepe 에어드랍 사기를 당해 지갑이 비워짐

9월 8일, 탈중앙화 파생상품 프로토콜 dYdX가 초기 사용자에게 에어드랍을 시작했습니다. DYDX 토큰이 10달러를 넘어서면서 에어드랍 소유자들은 상당한 수익을 얻었습니다. dYdX가 가져온 부의 효과가 소셜 네트워크에서 퍼져 나가면서, 에어드랍을 미끼로 한 함정도 조용히 설정되었습니다.

이틀 후, 투자자 아페이는 커뮤니티에서 자신이 불행히도 함정에 빠진 경험을 이야기했습니다. 9월 10일, 아페이는 자신의 블록체인 지갑을 열었을 때, Zepe라는 이름의 토큰이 75만 개 추가된 것을 우연히 발견했고, 지갑은 이 토큰의 가치가 10만 달러를 넘는다고 표시했습니다.

아무런 경계 없이 아페이는 토큰과 관련된 웹사이트를 열고 지갑을 연결했습니다. 다른 사용자들의 설명에 따르면, 이 토큰은 탈중앙화 거래 플랫폼에서 판매할 수 없지만, 토큰 관련 웹사이트는 Zepe.io를 BNB로 교환할 수 있는 Swap과 유사한 교환 페이지를 제공했습니다. 아페이는 지갑을 연결하고 거래를 승인한 후, 어떤 토큰도 얻지 못한 채 지갑의 수천 개의 CHESS 토큰이 오히려 전송되었다고 말했습니다. 토큰이 사라진 것을 발견한 후, 아페이는 자신이 사기에 빠졌다는 것을 깨달았습니다.

Zepe.io의 가짜 교환 페이지

이 에어드랍이 뜻밖의 재산이라고 생각했지만, 지갑이 비워졌습니다. 소셜 네트워크에서는 여러 사용자들이 같은 에어드랍 함정에 빠졌다고 자백했으며, 어떤 사람은 도난당한 자산이 7만 USDT에 달한다고 주장했습니다. 통계에 따르면, 이번 사기꾼은 광범위하게 그물망을 쳐서, BSC, HECO, Matic 등 여러 블록체인 네트워크의 많은 주소에 토큰을 에어드랍했습니다. 많은 사용자들이 에어드랍을 받았다고 보고했습니다.

블록체인 보안 기관 Armors의 검토에 따르면, 해당 토큰에 대한 계약은 코드 검증이 이루어지지 않았으며, 모든 권한 부여 및 전송 거래가 실패했습니다. 모든 실패한 실행의 비고에는 사용자가 해당 웹사이트에서 인출하라는 요구가 포함되어 있으며, 사용자가 웹사이트에 로그인하여 지갑 권한을 부여하면 토큰이 도난당하게 됩니다.

벌집 금융은 블록체인 탐색기를 통해 사기꾼이 토큰을 수신한 주소를 조회한 결과, 최근 16.5만 개의 USDC와 13개의 BNB가 전송된 것을 발견했으며, 이는 의심스러운 자금 이동으로 보입니다.

실제로 최근 발생한 에어드랍 사기는 하나만이 아닙니다. 많은 투자자들이 블록체인 지갑에 대량의 출처 불명의 토큰이 나타났다고 보고했습니다. 이러한 토큰의 공통적인 특징은 수량이 방대하고 눈에 띈다는 것입니다. 사용자가 토큰을 판매하려고 시도하는 과정에서 계약을 승인하면, 발행자에게 지갑 자금을 이동할 권한을 부여하게 되어 자산을 잃을 수 있습니다.

사기꾼은 성공한 후, 종종 탈중앙화 거래소에서 혼합하고 다른 주소로 자금을 이동하여 현금화합니다. 피해자는 유사한 사기를 당한 후, 자금을 회수하기 어려운 경우가 많습니다.

에어드랍 사기는 계속 진화하며, 사용자는 계약 권한 부여에 주의해야 함

블록체인은 공개적이고 투명한 네트워크이기 때문에, 모든 사용자의 지갑 주소는 익명성이 있지만 완전히 공개되어 있습니다. 누구나 그 주소로 토큰을 보낼 수 있습니다. 일반적으로 토큰을 수신하는 것은 지갑 도난으로 이어지지 않지만, 사용자가 해당 토큰을 판매하려고 할 경우, 권한 부여 과정에서 자산 이동 권한을 부여하거나 개인 키를 노출하게 되어 악의적인 사용자가 지갑을 비울 수 있습니다.

사실, 유사한 사기는 2019년에도 발생했습니다. 당시 텔레그램에서 OMG 토큰을 에어드랍하는 사기가 유행했으며, 사기꾼은 지갑에 ETH와 OMG가 있는 사용자에게 지갑 잔액에 따라 ETH 1:32, OMG 1:0.3 비율로 OMG 무료 에어드랍을 받을 수 있다고 주장했습니다. 많은 사람들이 유혹을 느꼈습니다.

사용자가 안내된 단계에 따라 에어드랍 수령 웹사이트를 열면, 페이지는 사용자가 이더리움 지갑 주소와 잔액을 입력하도록 요구합니다. 이 단계는 자산 도난으로 이어지지 않습니다. 그러나 이후 페이지는 사용자가 이더리움 지갑의 개인 키를 입력하도록 요구하여, 이 지갑이 본인 소유임을 증명하도록 합니다. 페이지는 "안전합니다. 우리는 귀하의 개인 데이터(예: 개인 키)를 사용, 저장 또는 수집하지 않으며, 아무도 귀하의 지갑에 접근할 수 없습니다."라고 안내합니다. 결과적으로 많은 사람들이 개인 키를 입력한 후, 지갑의 자산이 빠르게 이동되었습니다. 이는 명백한 사기입니다.

가짜 에어드랍 웹사이트가 사용자에게 개인 키 입력을 요구함

현재 DeFi의 발전과 함께, 점점 더 많은 사용자가 체인 상의 지갑을 사용하여 자산을 직접 관리하고자 합니다. 오래된 사용자들은 "개인 키 노출은 더 이상 지갑의 유일한 통제권을 잃는 것"이라는 상식을 알고 있기 때문에, 개인 키 입력을 요구하는 사기는 더 이상 흔하지 않습니다. 그러나 악의적인 사용자는 사라지지 않고 오히려 다양한 사기 수법을 발전시켜 신구 사용자들을 속이고 있습니다.

최근 일부 사용자는 가짜 지갑 사기를 당했습니다. 사기꾼은 먼저 사용자가 자주 사용하는 지갑을 모방하여 가짜 탈중앙화 지갑을 제작합니다. 사용자가 다운로드하고 개인 키를 가져오면, 개인 키 정보가 유출됩니다. 또 다른 경우에는 커뮤니티에서 높은 가격에 토큰을 구매하겠다고 유혹하여 사용자가 전송하도록 유도합니다. 사용자가 제공된 지갑 QR 코드를 스캔하면 제3자 웹사이트로 이동하며, 해당 웹사이트에서 전송 및 권한 부여를 하면 계좌가 도난당하게 됩니다.

여러 주소의 자금 도난 사건이 발생한 후, 많은 사용자들은 방지 의식을 갖게 되었고, 일반적으로 개인 키를 유출하지 않으며, 블록체인 지갑 및 거래소를 다운로드할 때 공식 웹사이트에서 다운로드합니다. 그러나 새로운 사용자가 대거 블록체인에 진입하면서, 그들은 종종 기본 기술 지식이 부족하고 코드 계약에 대한 이해가 부족하여 DeFi 프로젝트에 참여하거나 에어드랍 토큰을 판매하려 할 때 낯선 계약에 권한을 부여하게 됩니다. 만약 악의적인 사용자가 계약에서 조작을 한다면, 사용자는 주소의 모든 자산을 잃을 가능성이 매우 높습니다.

그렇다면 사기꾼은 어떻게 계약을 통해 사용자 자산을 이동시키는 것일까요?

블록체인 보안 기관 PeckShield는 벌집 금융에 토큰 권한 부여 작업이 주로 두 단계로 나뉜다고 밝혔습니다. 첫 번째 단계는 거래 권한 부여로, 이 단계는 ERC-20 토큰 계약에 향후 목표 계약 주소가 권한 부여된 지갑 계좌에서 일정량의 토큰을 이동할 수 있음을 알리기 위한 것입니다. 두 번째 단계는 거래 실행으로, 목표 계약의 논리가 해당 토큰 거래를 수행해야 할 때, 계약이 사용자에게 권한을 부여한 토큰을 이동하도록 자동으로 촉발합니다.

Zepe.io 에어드랍 사기를 예로 들면, 사기꾼은 먼저 토큰을 생성하고 에어드랍을 완료한 후, DEX에 토큰을 추가하여 유동성을 증가시켜 토큰에 가치를 부여합니다. 일부 사용자가 계좌에 "가치 있는" 에어드랍 토큰이 나타나자, DEX에서 교환하고자 합니다. 이 단계의 거래 권한 부여는 일반적으로 실패하지만, 실패 후에는 오류 메시지가 사용자에게 해당 웹사이트에서 교환하라고 안내합니다. 함정은 이때 발생하며, 사용자가 지정된 페이지에서 거래를 승인하면, 그의 계좌에 있는 가치 있는 토큰이 이동하게 됩니다.

PeckShield는 유사한 에어드랍 사기가 하나의 주요 공통 특성을 가지고 있다고 밝혔습니다. 즉, 토큰 이름의 대부분이 웹사이트 주소와 같으며, ShibaDrop.io, AirStack.net, BNBw.me 등이 있습니다. 사용자가 이러한 유사한 토큰을 수신하면 주의해야 합니다. 이 보안 기관은 사용자가 체인 상의 프로토콜과 상호작용할 때 과도한 권한 부여를 하지 말고, 예를 들어 토큰 거래를 승인할 때는 최대 수량이 아닌 지정된 수량으로 설정할 것을 권고합니다. 또한 사용자는 정기적으로 사용하지 않는 Dapp의 권한을 취소하고, 사기꾼의 "변장"에 주의해야 합니다.

체인 상의 사용자에게 블록체인 네트워크는 상대적으로 자유롭지만 위험이 가득한 세계입니다. 사용자는 개인 키를 잘 관리하여 탐욕으로 인해 낯선 계약에 쉽게 권한을 부여하여 자산 손실을 피해야 합니다. "하늘에서 파이가 떨어지지 않는다"는 옛말이 블록체인 세계에서도 유효하다는 것을 기억해야 합니다.