아이스 피싱 설명: 숨겨진 승인 유출

사기성 원장: 자격 증명 도용에서 권한 도용으로의 전환

• Web3 보안 초기에는 디지털 자산 보호는 자격 증명 보호를 중심으로 한 비교적 간단한 전투였습니다. 투자자가 12단어 시드 문구를 기억하고, 개인 키를 완전히 오프라인으로 저장하고, 악성 소프트웨어 다운로드를 피했다면, 온체인 자본은 일반적으로 안전한 것으로 간주되었습니다. 

• 기존 피싱 공격은 무차별 대입 속임수에 크게 의존했습니다. 즉, 사용자를 속여 마스터 복구 문구를 가짜 웹 양식에 직접 입력하도록 유도했습니다.

• 오늘날 위협 환경은 극적인 구조적 진화를 겪었습니다. 고급 Web3 사이버 범죄자는 더 이상 개인 키나 시드 문구를 훔치려고 에너지를 낭비하지 않습니다. 대신에 그들은 다음과 같은 매우 정교한 기술을 배포합니다. 아이스피싱. 
• 당신의 집에 침입하는 것보다 지갑, 아이스 피싱은 정중하게 문을 열고 자산의 전체 운영 통제권을 넘겨주도록 속입니다. 스마트 계약 사용자 인터페이스를 조작하고, 오프체인 서명을 활용하고, 블라인드 서명 취약점을 활용함으로써 이러한 숨겨진 승인은 개인 키를 전혀 건드리지 않은 채 자체 관리 계정에서 수백만 달러를 빼앗아갑니다.

아이스피싱이란?

• 아이스 피싱은 공격자가 사용자를 조작하여 악의적인 스마트 계약 거래 또는 토큰 허용량에 서명하도록 하는 암호화 공격입니다. 이 승인은 온체인 토큰의 승인 상태를 변경하여 공격자에게 피해자의 자산을 사용할 수 있는 완전한 법적 권한을 부여합니다.

• 자금을 A 지점에서 B 지점으로 즉시 이동시키는 일반적인 거래와 달리 아이스 피싱은 비동기식 위협입니다. 사용자가 악의적인 승인에 서명하는 순간 아무 일도 일어나지 않는 것처럼 보입니다. 토큰이 즉시 지갑에서 나가지 않습니다. 대신 공격자는 서명이 확정될 때까지 기다린 다음 나중에 토큰 계약의 내부 전송 기능을 호출하여 계정을 완전히 비워냅니다.

1. 온체인 트랩의 메커니즘: approve 및 setApprovalForAll

• 분산형 애플리케이션, 자동화된 마켓 메이커 및 NFT 마켓플레이스와 상호 작용하려면 Web3 사용자는 토큰 허용 프레임워크와 상호 작용해야 합니다. 스마트 계약은 허가 없이 지갑 내부의 토큰을 자동으로 읽거나 이동할 수 없기 때문에 먼저 계약에 특정 지출 허용량을 부여해야 합니다.

아이스 피싱 캠페인은 일상적인 토큰 상호 작용의 매개 변수를 변경하는 사기성 분산 애플리케이션(dApp)을 배포하여 이러한 설계 선택을 악용합니다.

• ERC-20 토큰 할당(approve): 일상적인 토큰 스왑을 구성하고 있다고 생각되면 악성 dApp이 기본 거래 호출 데이터 페이로드를 수정합니다. 스왑 기능을 호출하는 대신 토큰의 기본 할당 기능을 호출하여 공격자의 계약 주소에 수조 개의 토큰 지출 한도를 부여합니다.

• NFT 생태계 휩쓸기 (setApprovalForAll): 대체 불가능한 토큰의 경우 위협은 더욱 절대적입니다. 악의적인 내용이 포함된 거래에 서명 setApprovalForAll 플래그는 공격자에게 특정 계약 내의 전체 토큰 컬렉션에 대한 완전한 관리 권한을 부여합니다. 해커는 단일 블록 실행을 통해 귀하의 계정에서 모든 고가치 디지털 수집품을 모두 빼낼 수 있습니다.

2. 보이지 않는 서명: EIP-2612 피싱 허용

• 지갑 제공업체가 의심스러운 온체인 승인을 표시하기 위해 더 나은 경고 배너를 구현함에 따라 드레이너 서비스는 오프체인 서명 프레임워크 조작, 특히 대상을 지정하는 방향으로 전환되었습니다. EIP-2612 허가 모듈.

• EIP-2612 표준은 가스 없는 토큰 승인을 허용하여 보다 효율적인 사용자 경험을 만들기 위해 도입되었습니다. 라이브를 제출하는 대신 비용이 많이 듭니다. 블록체인 트랜잭션을 통해 허용량을 조정하면 사용자는 지갑 클라이언트 내에서 구조화된 오프체인 메시지에 서명합니다. 이 원시 암호화 서명 문자열은 온체인 거래를 실행하기 위해 네트워크 가스 요금을 지불하는 제3자에게 전달됩니다.

• 아이스 피싱 시나리오에서 이 기능은 소리 없는 취약점으로 변합니다. 공격자는 사용자에게 "지갑 소유권 확인" 또는 "커뮤니티 보상 청구"를 위해 간단하고 가스가 필요 없는 문자 메시지에 서명하도록 요청하는 멋진 복제 웹 애플리케이션을 구축합니다. 프런트엔드 사용자 인터페이스 뒤에 있는 페이로드는 실제로 EIP-2612 허가 검증 문자열입니다. 사용자가 서명을 클릭하는 순간 드레이너는 원시 서명 페이로드를 캡처하여 공개 블록체인 원장에 브로드캐스트하여 허용량을 확보하고 해당 계정의 토큰을 제거합니다.

3. 블라인드 서명 맹점: 하드웨어 지갑 악용

• Web3 참가자를 위한 궁극적인 방어선은 하드웨어 지갑입니다. 그러나 가장 안전한 물리적 보안 칩이라도 투자자가 아이스 피싱 공격을 당할 경우 이를 방지할 수는 없습니다. 블라인드 서명.

• 하드웨어 장치가 작은 물리적 화면에 기본적으로 구문 분석하거나 표시할 수 없는 스마트 계약 트랜잭션이나 복잡한 메시지 페이로드를 강제로 승인해야 할 때 블라인드 서명이 발생합니다. 다음과 같은 일반 텍스트 지침을 표시하는 대신 "계약 X에 양도 권한 부여," 하드웨어 지갑은 읽을 수 없는 긴 원시 16진수 데이터 문자열과 함께 일반 경고 메시지를 표시합니다.

• 사용자는 압박감이 심한 시장 이벤트 중에 읽을 수 없는 데이터 필드를 접할 때 습관적으로 물리적 하드웨어 버튼의 경고 메시지를 클릭하는 경우가 많습니다. 확인되지 않은 데이터 문자열을 블라인드 서명함으로써 사용자는 악성 아이스 피싱 페이로드를 암호화 방식으로 검증하여 드레이너 스크립트가 물리적 장치의 보안 모델을 완전히 우회할 수 있도록 하는 호소력 없고 되돌릴 수 없는 온체인 승인을 생성합니다.

기술 설계 매트릭스: 승인 드레인 벡터 서명

4. 온체인 자본을 인식하고 보호하는 방법

정교한 아이스 피싱 공격 및 기타 "피싱"으로부터 포트폴리오를 보호하려면 엄격한 운영 보안 프로토콜에 대한 확고한 의지가 필요합니다.

• 거래 시뮬레이션 데이터 감사: 현대적이고 안전한 Web3 지갑에는 고급 거래 시뮬레이션 모듈이 통합되어 있습니다. 거래 프롬프트를 승인하기 전에 시뮬레이션 출력 화면을 주의 깊게 검토하십시오. 기본 기능을 수행한다고 주장하는 웹사이트에서 지갑이 허용량을 수정하고 있다는 시뮬레이션 경고를 생성하거나 다음과 같은 용어가 포함된 작업을 요청하는 경우 approve 또는 Permit, 즉시 연결을 거부하세요.

• 알 수 없는 페이로드에 블라인드 서명하지 않음: 하드웨어 지갑의 블라인드 서명 프롬프트를 고위험 보안 이벤트로 처리하세요. 물리적 장치 화면에 토큰이 이동하는 위치와 이유를 정확하게 설명하는 명확하고 읽기 쉬운 텍스트 개요가 표시되지 않는 경우 확인 버튼을 누르지 마십시오. 장치 펌웨어를 업데이트하거나 검증된 대체 dApp 인터페이스 경로를 활용하여 명확한 데이터 가시성을 보장하세요.

• 정기적인 권한 감사 시행: 토큰 허용량은 지속적입니다. 일단 부여되면 명시적으로 수정될 때까지 블록체인에서 영원히 활성 상태로 유지됩니다. Revoke.cash 또는 기본 지갑 보안 포털과 같은 독립적인 수당 감사 애플리케이션을 활용하여 과거 승인을 주기적으로 삭제함으로써 손상된 레거시 플랫폼이 현재 잔액에 대한 백도어 역할을 할 수 없도록 보장합니다.

DEXTools 법의학 원격 측정을 통한 자본 유입 추적