읽기 시간: 5 분
자산의 안전과 보안은 사용자가 투자에서 얼마나 많은 돈을 버는지에 큰 차이를 만듭니다. 그래서 여기에 Web3에서 계속 인식하고 정보를 얻을 수 있는 보안 블로그가 있습니다.
Cryptocurrencies는 변동성으로 유명합니다. 그것은 자산의 가격이 투자 결정을 내리는 데 얼마나 영향을 미치는지 알려줍니다. 해커가 가격을 가지고 장난을 치고 사용자를 속여 이익을 얻을 수 있는 기회가 있습니다.
열성적인 암호화폐 투자자라면 누구나 비관론이나 낙관론의 환상을 만들기 위해 암호화폐 토큰 가격이 조작되는 상황에 직면했을 것입니다. 이것은 사용자가 그것을 구매하도록 유도하고 나중에 그들이 스푸핑에 빠졌다는 것을 알게 될 것입니다.
스푸핑이란 무엇입니까? 그것들을 식별하고 돈이 허공에 사라지는 것을 피하기 위해 주의를 기울이는 방법은 무엇입니까? 이 블로그에서 모든 것을 다룰 것입니다.
'스푸핑' – 간단히 말해서
사용자가 구매를 기다리고 있을 정도로 많은 기대를 받고 있는 토큰이 마침내 동일한 심볼과 공식 로고를 가지고 출시됩니다. 그리고 큰 흥분으로 사용자는 구매를 원합니다.
그러나 사용자는 어떻게 토큰의 진위를 확신하고 대량 구매를 진행합니까?
사용자는 블록 탐색기에서 토큰 전송과 관련된 주소가 인플루언서/저명한 인물임을 알게 됩니다.
여기가 해커가 보낸 사람 주소를 조작한 곳입니다. 토큰, 잘 알려진 인플루언서의 주소에 연결된 것처럼 보이게 합니다. 이를 본 사용자들은 해당 토큰이 원래의 토큰이라고 믿고 즐겁게 거래합니다.
비하인드 스토리 – 해커는 어떻게 했습니까?
스마트 계약의 전송 데이터는 쉽게 수정할 수 있습니다. 따라서 이를 활용하여 공격자는 트랜잭션을 시작하는 사람이지만 발신자 주소를 다른 주소로 변경할 수 있습니다.
스푸핑 토큰 전송을 더 명확하게 하기 위해 Etherscan의 토큰 전송을 살펴보겠습니다.
여기에서 Vitalik의 주소 0xab5801a7d398351b8be11c439e05c5b3259aec9b가 zkSync 토큰을 수신한 것을 볼 수 있습니다.
토큰은 누구에게서든 Vitalik의 주소로 전송될 수 있으며 이는 큰 문제가 아닙니다.
하지만 여기서는 Vitalik이 토큰을 보내는 것을 볼 수 있습니다. 따라서 이것은 사용자가 Vitalik이 보낸 이러한 토큰이 진짜 대박이 될 것이라고 생각하도록 유인할 것입니다.
그러나 그것은 사실이 아닙니다! 앞으로 무엇이 있는지 알아 봅시다!
Vitalik은 전송을 시작하지 않았지만 거래를 시작한 계약 소유자는 Vitalik이 전송한 것처럼 보이게 했습니다. 블록 탐색기는 이벤트를 읽을 수만 있기 때문에 조작된 트랜잭션을 표시하기 위해 블록 탐색기가 스푸핑되는 곳입니다.
이는 트랜잭션 내역을 보면 알 수 있는데, 개시자 주소(0x46e7cefdfa7513d19261d1afa7ec04c13e7acefc)가 트랜잭션을 조작하여 Vitalik에 의해 수행된 것으로 명확하게 표시됩니다.
자세히 살펴보면 입력 데이터에 Vitalik의 주소가 입력된 것을 알 수 있습니다. 이것은 계약서에 하드 코딩될 수도 있습니다.
또한 디컴파일할 때 입력을 받는 비표준 전송 함수를 찾을 수 있습니다. 발신인 주소 전송 이벤트를 시작합니다. 그리고 여기에서 계약 소유자가 Vitalik의 주소를 입력하여 그가 양도하는 것처럼 보이게 했습니다.
토큰 전송의 사고
다음은 사용자가 보낸 사람 주소를 트랜잭션 개시자의 주소로 착각하는 방법입니다. 스푸핑 트릭은 ERC-20 토큰의 설계 표준과 블록 탐색기의 투명한 데이터 디스플레이를 활용하여 사용자에 대한 성공적인 공격을 시작합니다.
ERC-20 표준의 transfer 및 transferFrom 기능은 임의의 주소를 토큰 발신자로 추가하고 From 주소가 계약의 개시자 주소에서 변경되는 것을 용이하게 합니다.
Etherscan과 같은 블록 탐색기는 tx 개시자 주소가 아닌 보낸 사람 주소를 표시하므로 사용자가 가치 없는 토큰을 배깅하게 됩니다.
스푸핑 토큰 스팸의 최근 이벤트가 있습니까?
사용자의 암호화폐 기부에 대한 보상을 위한 우크라이나의 "에어드롭"에 대한 최근 발표가 트위터 핸들에 게시되었습니다.
얼마 지나지 않아 Ethereum의 블록 탐색기 Etherscan은 비밀 암호 에어드롭을 위해 7억 개의 "Peaceful World" 토큰을 보유한 우크라이나의 공식 지갑을 표시했습니다.
우크라이나 공식 지갑에서 우크라이나 기금에 기부한 암호화폐 지갑 주소로 토큰을 보내는 활동도 있었다.
그러나 당국의 초기 게시물 이후 공식 에어드랍 이벤트에 대한 자세한 내용(토큰 유형 또는 출시할 토큰 수 등)은 없었습니다.
나중에 블록체인 분석가들은 평화로운 세계(WORLD) 토큰이 스푸핑일 수 있음을 확인했고 Etherscan은 이를 "오해의 소지가 있음" 태그를 지정하고 스팸으로 표시했습니다.
이 인스턴스는 방법을 보여줍니다. 우크라이나의 지갑 주소가 가짜 에어드랍을 시작하는 데 사용되고 있습니다.– 토큰 스푸핑 사례.
스푸핑 토큰 구매를 피하는 방법은 무엇입니까?
가장 좋은 방법은 거래 내역을 파고들어 발신인 주소와 토큰 전송 개시자 주소가 동일한지 확인하는 것입니다.
다른 주소에서 시작된 모든 토큰 전송이 반드시 스푸핑일 수는 없지만, 이 범주에서 의심스러운 토큰을 나열하는 EtherScan의 '토큰 무시 목록' 기능을 사용하면 사용자는 경계를 유지하고 상호 작용하는 토큰을 주시할 수 있습니다.
Web3 보안의 QuillAudits
퀼 Web3 해킹에 대한 경계를 유지하기 위해 스마트 계약 감사 및 실사 서비스를 제공함으로써 기존 및 성장하는 벤처를 보호하는 선도적인 보안 회사입니다.
10분 이내에 전문가와 무료 상담을 받으십시오.
https://t.me/quillaudits_official
15 조회수
