알아 둘 사항 : |
- EVM 생태계의 성장으로 인해 암호화 공격의 주요 대상이 되었습니다.
– Address Poisoning 우산 아래 사기꾼이 사용하는 다양한 변형과 기술이 있습니다. – Ledger는 항상 EVM 체인 사용자를 위한 혁신적인 보호 조치를 모색하고 있습니다. |
최근에 EVM 체인을 대상으로 하는 "Address Poisoning"으로 분류되는 공격의 수가 증가하는 것을 확인했습니다. 이는 잘못된 주소를 신뢰하고 복사/붙여넣기로 인해 자금을 잃을 수 있는 고객에게 영향을 미칩니다. 이것은 논의 된 아주 많이 로 주연 배우들, 그러나 온라인 콘텐츠는 반복적이지만 기술적으로 불완전하며 명확한 예가 누락되어 있습니다.
다양한 유형의 주소 중독을 파헤쳐 봅시다! 예, 실제로는 구현이 다양한 공격 계열입니다.
허영심 중독: 주소에 무차별 대입
이 첫 번째 유형의 주소 중독은 가장 단순한 유형이며 대부분의 온라인 기사에서 다루고 있습니다. 이를 이해하려면 먼저 배니티 주소와 인간의 한계에 대해 이야기해야 합니다.
베니티 주소
EVM 체인에서 주소는 계정의 공개 키를 해싱하고 마지막(가장 오른쪽) 20바이트만 유지하여 얻습니다. 이 20바이트는 40자의 XNUMX진수 문자열로 형식화되며, 이것이 우리가 ETH 또는 토큰을 송수신할 때 조작하는 것입니다.
이제 사람은 사람이기 때문에 특정 XNUMX진수 패턴을 따르는 주소를 찾기 시작했습니다. 잘 알려진 예는 다음과 같습니다. 1INCH의 토큰 계약 주소가 있는 것 0x111111111117dc0aa78b770fa6a738034120c302
, 많은 1로 시작 😍. 그것이 우리가 부르는 것입니다 허영 주소.
1inch 팀은 원하는 방식으로 표시될 때까지 많은 공개 키를 파생하고 해싱하여 생성했습니다. 그들은 아마도 다음과 같은 도구를 사용했을 것입니다. 배니티 ETH 그렇게 하는 것은 어렵지 않지만 오히려 시간이 많이 걸립니다.
"하지만 잠깐만요, 그게 제가 이더리움 주소에 대한 개인 키를 찾을 수 있다는 뜻인가요??" 당신은 물어볼 수 있습니다. 내가 대답하고 싶은 것은: 바라건대 그렇지 않으면 모기지를 충당하기 위해 새 직장을 빨리 찾아야 할 것입니다.
실제로 베니티 주소 생성의 어려움은 수정한 문자 수에 따라 비선형적으로 증가합니다. 사용 배니티 ETH, 10개의 고정 문자로 된 주소를 얻으려면 몇 달이 걸립니다. 12개의 고정 문자의 경우 최대 수백 년 동안 버블링됩니다. 40자의 완전한 주소에 걸리는 시간을 추론해 보겠습니다.
이 주소로 내 후손들이 얼마나 멋질까!
핵심은 충분한 노력을 기울이면 몇 가지 문자에서 특정 패턴을 따르는 주소를 생성할 수 있다는 것입니다.
바이트를 검토하는 인간
인간으로서 우리는 주소를 읽을 때 부분적으로만 검토하는 경향이 있습니다. 가장 일반적인 패턴은 주소의 첫 문자와 마지막 문자 몇 개만 검토하는 것입니다. 이것은 문자별로 정확하게 비교하는 것보다 덜 안전하지만 보기에 훨씬 더 쉽고 저항이 가장 적은 경로입니다.
또한 많은 도구가 대부분의 주소를 숨기기 때문에 우리가 사용할 수 있는 도구에 의해 어느 정도 권장됩니다.
Metamask는 주소의 시작과 끝만 보여줍니다.
공격
위의 내용을 감안할 때 일부 나쁜 행위자는 다음과 같은 일이 발생할 수 있음을 깨달았습니다.
- 매직 인터넷 머니로 채워진 활성 사용자 주소를 찾으십시오.
- 사용자 주소의 첫 번째 및 마지막 몇 바이트와 일치하는 베니티 주소를 생성합니다.
- 베니티 주소에서 사용자 주소로 금액이 0 또는 거의 0인 트랜잭션을 보냅니다. 이것이 실제 중독입니다. 이제 사용자는 자신의 거래 내역에서 공격자의 허영 주소를 봅니다.
- 공격자는 이제 사용자가 자신에게 자금을 보내려고 할 때 실수를 하고 허영 주소를 복사하여 붙여넣기를 기다리고 있습니다.
임의의 바이트를 처리하는 것은 인간에게 어렵기 때문에 급할 때 우리 주소처럼 보이는 주소를 복사하는 경향이 있어 이 공격이 매우 효과적입니다.
허영 주소 생성은 시간이 많이 걸리므로 이 공격을 확장하기가 더 어렵습니다. 더 저렴하게 만들기 위해 프로세스를 되돌릴 수 있다는 점에 유의하는 것이 중요합니다.
- 공격자는 자신이 제어할 수 있는 허영 주소를 최대한 많이 생성합니다.
- 공격자는 모든 온체인 활동과 모든 활성 사용자 주소를 감시합니다.
- 활성 사용자 주소가 베니티 주소 중 하나와 일치하면 포이즈닝 프로세스를 시작합니다.
이런 식으로 공격자는 특정 계정을 대상으로 하는 것을 포기하지만 공격 표면을 넓힙니다.
값이 XNUMX인 토큰 전송 공격: 체인 속이기
이 두 번째 중독 유형은 ERC20 트랜잭션 생성에 의존하기 때문에 훨씬 더 교활합니다. 귀하를 대신하여 귀하의 동의 없이!
이를 이해하려면 온체인 이벤트, 토큰 수당 및 약간의 Solidity에 대해 잘 알고 있어야 합니다.
온체인 이벤트
EVM 체인에서 트랜잭션은 여러 방식으로 체인 상태에 영향을 미칠 수 있습니다. 가장 일반적인 방법은 주소 간에 ETH를 이동하여 관련 계정의 온체인 균형을 효과적으로 변경하는 것입니다.
또 다른 상태 변경은 이벤트 게시입니다. Etherscan에서 트랜잭션을 볼 때 다음을 볼 수 있습니다. 생성된 이벤트. 이러한 이벤트는 토큰(ERC20, NFT 등)의 전송이 체인에서 구체화되는 방식입니다.
ERC20 거래 내역을 볼 때 실제로 모든 것을 보고 있는 것입니다. 전송(인덱스된 주소 _from, 주소 인덱싱된 _to, uint256 _value) 귀하의 주소와 관련된 이벤트.
토큰 허용량에 대해
ERC20 토큰의 많은 고급 사용은 사용자를 대신하여 자금을 이동하도록 허용되는 제XNUMX자 계약에 따라 달라집니다. 이는 키가 허용된 주소이고 값이 주소가 이동할 수 있는 최대 자금 양인 허용량 맵을 통해 처리됩니다.
표준에서 ERC-20: 토큰 표준 수당은 함수를 호출하여 사용자만 변경할 수 있습니다. 승인(주소 _spender, uint256 _value).
본인명의로 이체
공격자가 보내는 유일한 방법 X
다른 사용자를 대신하여 토큰의 양은 함수를 호출하는 것입니다. transferFrom(주소 _from, 주소 _to, uint256 _value). 그러나 이를 수행하려면 대상 사용자가 이미 전화를 걸어야 합니다. approve({_spender: <attacker_address>, _value: X})
, 필요한 수당을 제공합니다.
얼핏 보면 극복하기 힘든 한계처럼 보인다.
그러나 Solidity에서 매핑 및 기본값이 작동하는 방식을 고려할 때 모든 주소에는 허용되는 값이 있습니다. 0
ERC20 계약의 표준 구현에서 다른 모든 주소에. 따라서 이러한 구현에서는 대상 사용자가 적극적으로 허용했는지 여부에 관계없이 누구나 다음 전송을 실행할 수 있습니다.
transferFrom({from: <user_address>, to: <attacker_address>, _value: 0})
더 나아가 ERC20 표준은 다음과 같이 명시합니다.
0 값의 전송은 정상적인 전송으로 처리되어야 하며 '전송' 이벤트를 발생시켜야 합니다.
이렇게 하면 이 빈 전송이 항상 유효한 Transfer
사용자의 거래 내역에 표시되는 이벤트.
공격
위의 새로 발견된 지식을 사용하여 다음 공격을 수행할 수 있습니다.
- 더 자세한 문의 사항이 있으시거나, 견적을 원하시면 오늘 바로 연락주세요
transferFrom
가치가있는0
USDC, Matic, Uniswap과 같은 잘 알려진 ERC20 계약에서… - 사용자 주소에서 공격자 주소로 전송하십시오.
- 이렇게 하면 사용자 주소에서 공격자 주소로 체인에 합법적인 전송 이벤트가 생성됩니다.
- 이 이벤트는 사용자의 지갑에 의해 동기화되고 유효한 전송으로 표시됩니다.
공격자는 목표에 도달했습니다. 대상의 계정에서 자신의 계정으로 합법적인 ERC20 트랜잭션 생성.
모든 표준 지갑에서 그들의 주소는 이제 유효한 거래의 일부로 대상의 거래 내역에 표시됩니다. 사용자가 중독되었습니다. 운이 좋으면(공격자에게) 대상은 향후 거래에서 잘못된 주소를 실수로 사용할 수 있습니다.
다음은 이러한 온체인 공격의 몇 가지 예입니다.
사용자 보호
우리가 설명한 공격은 암호화폐 사용자에게 실질적인 영향을 미칩니다. 그들은 또한 빙산의 일각에 불과합니다. 사용자가 악성 주소와 상호 작용하도록 하기 위해 사기꾼은 모든 종류의 기술적 또는 인간적 결함을 악용합니다. 그들은 또한 지갑 제조업체가 배치할 수 있는 모든 대응책에 대한 전략을 매우 빠르게 적용합니다.
유지관리자로서 원장 라이브, 우리는 안전하고 사용자 경험을 개선하는 솔루션을 제공할 책임이 있습니다. 공격의 특성을 고려할 때 공격이 완전히 발생하지 않도록 방지하는 것은 매우 어렵습니다. 대신, 사용자의 실수를 방지하기 위해 유해한 트랜잭션을 다르게 처리하는 것이 지갑의 역할입니다.
그렇다면 최선의 방법은 무엇입니까?
우리에게 쉬운 대답은 먼저 지갑에서 주소를 복사해서는 안 된다는 것입니다. 하드웨어 장치의 신뢰할 수 있는 화면에서 확인. 이 대책은 나노S가 처음 상용화된 때부터 나온 것으로 알려진 기술적 결함은 없다.
그러나 그대로 두는 것은 실수입니다. 사람은 기계가 아닙니다. 우리는 게으를 수 있고, 서두를 수 있고, Nano가 없을 수도 있고, 어떤 사람들은 Ledger 장치를 소유하지도 않음 😱. 일상 생활에서 우리는 항상 저항이 가장 적은 길을 따릅니다. 이 경우 주소를 철저히 확인하지 않고 복사하는 것입니다.
이러한 맥락에서 제품, 개발자 및 고객 지원 측의 우리 팀은 여러 솔루션을 탐색해 왔습니다. 가장 간단하면서도 가장 효율적인 방법이 최신 Ledger Live 릴리스에 추가되었습니다. 절대 금액이 XNUMX인 거래 숨기기.
이제 가장 사악한 공격(값이 99.9인 토큰 전송 공격)을 수행하려면 금액이 절대 0.1이어야 하므로 이가 없는 것으로 렌더링됩니다. 또한 사용자의 XNUMX%가 의도적으로 절대 제로 트랜잭션을 사용하지 않기 때문에 안전한 변경입니다. 나머지 XNUMX%에 대해서는 Ledger Live의 고급 설정을 조정하여 트랜잭션을 계속 표시하는 것이 가능합니다.
전반적으로 이러한 변화는 큰 영향을 미치고 단점이 거의 없으며 시장 출시 기간이 매우 짧습니다. 다른 버전의 주소 중독 공격에 대해서는 보안 주소록, 사기 주소 탐지 등과 같은 다양한 솔루션을 탐색하고 있습니다!
미래 확보
암호화폐 세계가 계속 발전함에 따라 악의적인 행위자는 끊임없이 취약점을 악용하고 순진한 사용자를 대상으로 하는 새로운 방법을 모색합니다. 주소 중독은 기술과 인간 본성의 한계를 노리는 악의적인 공격의 대표적인 예입니다. 다양한 유형의 주소 중독 공격을 조명하고 기본 메커니즘을 분석함으로써 우리는 인식을 높이고 암호화 여정에서 정보에 입각한 결정을 내릴 수 있도록 권한을 부여하는 것을 목표로 합니다.
끊임없이 진화하는 이러한 위협에 맞서기 위해서는 Ledger Live와 같은 지갑 공급자와 더 광범위한 암호화 커뮤니티가 경계를 유지하고 협력하며 사용자를 보호하기 위한 혁신적인 솔루션을 개발하는 것이 중요합니다. 보안 조치와 사용자 경험을 지속적으로 개선함에 따라 사용자가 정보를 유지하고 주의를 기울이고 권장 모범 사례를 채택하도록 권장합니다.
귀하를 속이려는 사기꾼의 시도와 마찬가지로 귀하를 보호하기 위한 Ledger 팀의 그룹화된 노력은 항상 진행 중입니다. Ledger Live의 일상적인 경험을 정기적으로 개선할 것이므로 향후 릴리스의 변경 사항을 확인하십시오!
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoAiStream. Web3 데이터 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 미래 만들기 w Adryenn Ashley. 여기에서 액세스하십시오.
- PREIPO®로 PRE-IPO 회사의 주식을 사고 팔 수 있습니다. 여기에서 액세스하십시오.
- 출처: https://www.ledger.com/blog/address-poisoning
- :있다
- :이다
- :아니
- :어디
- $UP
- 10
- 12
- 1inch
- 20
- 22
- 250
- 40
- a
- 할 수 있는
- 소개
- 위의
- 절대
- 계정
- 계정
- 활발히
- 활동
- 배우
- 실제
- 실제로
- 각색하다
- 추가
- 주소
- 구애
- 채택
- 많은
- 영향을
- 겨냥
- All
- 이미
- 또한
- 항상
- 양
- 금액
- an
- 및
- 다른
- 답변
- 해독제
- 어떤
- 누군가
- 있군요
- 기사
- AS
- At
- 공격
- 공격
- 시도
- 가능
- 피하기
- 인식
- 떨어져
- 나쁜
- 잔액
- BE
- 때문에
- 된
- 존재
- BEST
- 모범 사례
- 더 나은
- 사이에
- 빈스
- 비트
- 도서
- 두
- 더 넓은
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- 전화
- 부름
- CAN
- 주의
- 어떤
- 체인
- 쇠사슬
- 이전 단계로 돌아가기
- 변경
- 변경
- 변화
- 문자
- 문자
- 저렴
- 선명한
- 클라이언트
- 협력
- 싸우기
- 공통의
- 커뮤니티
- 비교
- 완전한
- 함유량
- 문맥
- 계속
- 지속적으로
- 계약
- 계약
- 제어
- 시원한
- 사자
- 수
- 코스
- 엄호
- 적용
- 만들기
- 결정적인
- 암호화는
- 암호 커뮤니티
- 암호화 사용자
- 암호 세계
- 고객
- 고객센터
- 매일
- 결정
- 태만
- 배포
- 기술 된
- Detection System
- 개발
- 개발자
- 다른
- 어려운
- 어려움
- DIG
- do
- 하지
- 말라
- 단점
- 쉽게
- 쉽게
- 생태계
- 유효한
- 효과적으로
- 효율적인
- 노력
- 능력을 키우다
- 격려
- 격려
- end
- 전적으로
- ERC20
- ERC20 토큰
- ETH
- 이더리움
- 에테르 스캔
- 조차
- 이벤트
- 이벤트
- 모든
- 일상의
- EVM
- 진화시키다
- 정확하게
- 예
- 예
- 실행
- 경험
- 공적
- 탐색
- 아이메이크업
- 익숙한
- 가족
- 를
- Find
- 화재
- 먼저,
- 수정
- 고정
- 결점
- 따라
- 수행원
- 다음
- 럭셔리
- 앞으로
- 발견
- 에
- 자금
- 미래
- 생성
- 생성
- 생성
- 생성
- 얻을
- 주어진
- 제공
- 기부
- 골
- 큰
- 성장
- 보증
- 했다
- 핸들
- 처리
- 무슨 일이
- 하드
- 하드웨어
- 해싱
- 있다
- 숨는 장소
- history
- 희망
- 희망
- 방법
- 그러나
- HTTP
- HTTPS
- 사람의
- 인간
- 백
- i
- 악
- 영향
- 영향
- 이행
- 중대한
- 개선
- 개량
- in
- 증가
- 증가
- 정보
- 혁신적인
- 예
- 를 받아야 하는 미국 여행자
- 상호 작용하는
- 인터넷
- 으로
- 감다
- 참여
- IT
- 그
- 일
- 여행
- 유지
- 유지
- 키
- 키
- 종류
- 알아
- 지식
- 알려진
- 성
- 최근
- 가장 작은
- 출발
- 원장
- 원장 라이브
- 왼쪽 (left)
- 합법적 인
- 적게
- 하자
- 생활
- 빛
- 처럼
- 제한
- 한계
- 작은
- 살고있다
- 긴
- 보기
- 찾고
- 봐라.
- 지는
- 롯
- 운
- 기계
- 마법
- 매직 인터넷 머니
- 확인
- 제조사
- 제작
- .
- 지도
- 시장
- 매틱
- 최대
- 최대 폭
- XNUMX월..
- 평균
- 조치들
- 메커니즘
- 수도
- 누락
- 잘못
- 돈
- 개월
- 배우기
- 저당
- 가장
- 움직임
- 움직이는
- 많은
- 여러
- 절대로 필요한 것
- my
- 나노
- 자연
- 필요
- 못
- 신제품
- NFTs
- 아니
- 표준
- 지금
- 번호
- 획득
- of
- on
- 온 체인
- 온체인 활동
- ONE
- 지속적으로
- 온라인
- 만
- or
- 기타
- 우리의
- 아웃
- 극복하다
- 자신의
- 부품
- 통로
- 무늬
- 사람들
- 수행
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 가능한
- 연습
- 사례
- 예쁜
- 예방
- 청춘
- 사설
- 개인 키
- 아마
- 방법
- 프로덕트
- 보호
- 보호하는
- 제공
- 제공
- 공개
- 공개 키
- 공개 키
- 출판기획 & 편집
- 탐구
- 빠른
- 빨리
- 모집
- 닥치는대로의
- 차라리
- 도달
- 읽기
- 현실
- 현실
- 깨달은
- 정말
- 추천
- 관계없이
- 정규병
- 공개
- 나머지
- 반복적 인
- 필수
- 저항
- 책임
- 리뷰
- 리뷰
- 직위별
- 돌진
- s
- 가장 안전한 따뜻함
- 규모
- 사기
- 사기꾼
- 화면
- 둘째
- 안전해야합니다.
- 보안
- 보안 조치
- 찾으라
- 것
- 본
- 보고
- 보내다
- 설정
- 몇몇의
- 짧은
- 영상을
- 쇼
- 뒷면
- 시각
- 이후
- So
- solidity
- 솔루션
- 일부
- 약간
- 구체적인
- 표준
- 스타트
- 시작
- 시작 중
- 주 정부
- 미국
- 유지
- 전략들
- 끈
- 이러한
- 충분한
- SUPPORT
- 표면
- 받아
- 이야기
- 목표
- 대상
- 팀
- 팀
- 테크니컬
- 기법
- Technology
- 보다
- 그
- XNUMXD덴탈의
- 국가
- 그들의
- 그들
- 그들 자신
- 그때
- 그곳에.
- Bowman의
- 그들
- 타사
- 이
- 완전히
- 그래도?
- 위협
- 을 통하여
- 시간
- 팁
- 에
- 토큰
- 토큰
- 수단
- 검색을
- 교환
- 거래
- 거래
- 거래 내역
- 이전
- 전송
- 신뢰할 수있는
- 신뢰
- 조정
- 유형
- 유형
- 우산
- 아래에
- 밑에 있는
- 이해
- 까지
- us
- 용법
- USDC
- 사용
- 익숙한
- 사용자
- 사용자 경험
- 사용자
- 가치
- 마케팅은:
- 화장대
- 확인하는
- 대단히
- 취약점
- 기다리다
- 지갑
- 지갑 제작자
- 지갑
- 원
- 였다
- 시계
- 방법..
- 방법
- we
- 잘 알려진
- 뭐
- 언제
- 여부
- 어느
- 동안
- 누구
- 의지
- 과
- 없이
- 작업
- 겠지
- 년
- 예
- 아직
- 수율
- 자신의
- 너의
- 젠 데스크
- 제퍼 넷
- 제로