토큰 승인 익스플로잇: 스캐머가 Web3 지갑을 탈취하는 방법

주요 수법

• • 기만적인 dApp 인터페이스를 이용한 피싱: 스캐머는 합법적인 플랫폼(OpenSea, Uniswap, Aave)을 모방하는 가짜 탈중앙화 애플리케이션을 만들지만, 사용자를 악의적인 스마트 계약으로 리디렉션하여 주장한 기능을 실행하는 대신 토큰 승인을 요청합니다.
• • Discord/Telegram을 통한 소셜 엔지니어링: 공격자는 Web3 커뮤니티 서버에 위조된 링크를 게시하여 독점 NFT 드롭, 거버넌스 에어드롭 또는 토큰 승인이 필요한 수익 농사 기회를 주장합니다.
• • 손상된 지갑 브라우저 확장 프로그램: 악의적인 Chrome 또는 Firefox 확장 프로그램은 MetaMask 또는 지갑 관리 도구로 위장하여 사용자 모르게 합법적인 dApp 상호작용에 가짜 승인 요청을 주입합니다.
• • 승인 메커니즘에 대한 사용자 혼동 이용: 스캐머는 대부분의 사용자가 거래 승인(단일 작업 서명)과 토큰 승인(무제한 향후 접근 권한 부여)의 차이를 이해하지 못한다는 사실을 이용하여, 요청에 실제 같은 기술 언어를 포함시킵니다.
• • NFT 희귀성 낚시 캠페인: 공격자는 희귀 컬렉션을 제공하는 가짜 NFT 거래 플랫폼 또는 런치패드를 만들어 사용자가 청구 또는 입찰을 위해 토큰을 승인하도록 요구한 후, 승인이 부여되면 즉시 지갑을 탈취합니다.
• • 오도하는 UI/UX 조작: 사기 dApp은 모호한 거래 설명('스왑 확인', '거래 활성화')을 표시하면서 실제 승인 금액을 숨기며, 종종 코드에서 무제한 허용치(type(uint256).max)를 설정합니다.

식별 방법

• 특정 토큰 승인을 요청받았지만 dApp이 관련 없는 서비스를 제공한다고 주장합니다(예: 소유하지 않은 거버넌스 토큰 승인을 요청하는 NFT 민트).
• 승인 요청이 비정상적으로 높거나 '무제한' 허용치를 표시합니다(거래 세부사항에서 매우 큰 숫자 또는 MAX로 표시됨).
• 거래 URL 또는 dApp 도메인이 합법적인 버전과 약간 다르게 철자가 잘못되었습니다(예: 'uniswap.org' 대신 'uniswapp.org').
• 거래 확인 화면이 무엇을 승인하는지 명확하게 명시하지 않거나 의도한 작업과 일치하지 않습니다.
• 지갑 잔액이 명시적으로 전송하지 않은 토큰에 대해 갑자기 감소하며, 종종 지갑 기록을 확인할 때 시작하지 않은 거래를 볼 때 발견됩니다.
• 합법적인 dApp 또는 지갑이 같은 토큰의 승인을 반복적으로 요청하는데, 이는 허용치가 완전히 소비된 경우를 제외하고 한 번만 필요합니다.

자신을 보호하는 법

• 소셜 미디어, Discord 또는 이메일의 링크를 클릭하는 대신 dApp 도메인을 브라우저에 직접 입력하여 항상 확인하고, Revoke.cash와 같은 블록체인 도메인 검증 도구를 사용하여 URL을 이중 확인합니다.
• Revoke.cash 또는 Etherscan의 승인 탭과 같은 토큰 승인 모니터링 서비스를 사용하여 지갑의 모든 활성 토큰 승인을 정기적으로 감사하고 더 이상 사용하지 않는 서비스의 권한을 취소합니다.
• 무제한 허용치보다 단일 거래에 필요한 특정 금액만 승인합니다. 대부분의 합법적인 dApp은 사용자가 사용자 지정 승인 금액을 입력할 수 있도록 허용합니다.
• 거래 시뮬레이션 도구인 Tenderly 또는 Etherscan의 시뮬레이션 기능을 활성화하여 거래에 서명하기 전에 정확히 무엇이 일어날지(어떤 토큰이 이동하고 어디로 갈지) 확인합니다.
• 활발하게 거래하지 않는 토큰을 별도의 콜드 스토리지 지갑(Ledger 또는 Trezor와 같은 하드웨어 지갑)에 보관하여 dApp에 연결하지 않음으로써, 고가치 자산에 대한 노출을 격리합니다.
• '계층화된 지갑' 전략을 실행합니다: dApp 상호작용 및 테스트를 위해 소액이 있는 하나의 지갑을 사용하고, 장기 보유를 위해 별도의 안전한 지갑을 유지하여 손상된 주소로부터의 잠재적 손실을 줄입니다.

실제 사례

자주 묻는 질문

신고 채널 — 대한민국

귀하의 지역에서 이 사기를 신고할 수 있는 공식 채널.