내 지갑이 털렸을 때: 피해를 최소화하기 위한 긴급 조치
— By Tony Rabbit in Tutorials

지갑이 털렸는데 무엇을 해야 할지 모르시나요? 악성 승인을 식별하고, 모든 체인에서 활성 허용을 취소하고, 스위퍼 봇보다 먼저 남은 자산을 구출하고, 시드 구문을 영구적으로 포기하는 정확한 비상 대응 방법이 여기 있습니다.
지갑이 털렸고 무엇을 해야 할지 스스로 묻고 있다면, 지갑이 털렸다는 것은 공격자가 악성 토큰 승인, permit 서명 또는 유출된 시드 구문을 사용하여 귀하의 추가 동의 없이 자산을 빼돌렸다는 의미입니다. 시간은 중요합니다. 모든 것을 잃는 것과 보유 자산의 일부를 구하는 것의 차이는 보통 몇 분 안에 결정됩니다. 이 가이드는 처음 10분부터 현실적으로 복구 가능한 것이 무엇인지 결정하는 것까지 비상 대응 절차를 순서대로 안내합니다. 빠르게 작업하되 순서를 따르십시오. 잘못된 움직임, 예를 들어 오염된 지갑으로 gas를 보내는 것은 나머지 자금을 봇에게 직접 넘겨줄 수 있기 때문입니다.
핵심 요약
- permit 서명 또는 다른 체인의 승인이 여전히 활성 상태라면 하나의 승인을 취소하는 것만으로는 충분하지 않습니다.
- 스위퍼 봇이 들어오는 gas에 반응하기 전에 남은 자산을 완전히 새로운 지갑으로 옮기십시오.
- 손상된 시드 구문은 영원히 사용할 수 없습니다. 어떤 체인이나 계정에서도 다시 사용하지 마십시오.
- 털린 지갑에 gas를 충전하는 것은 종종 가로채이므로 절대 충전하지 마십시오.
첫 10분: 지갑이 털린 원인 파악
무엇이든 클릭하기 전에 지갑을 비운 거래를 찾으십시오. 해당 체인의 블록 탐색기를 열고 주소를 붙여넣은 다음 가장 최근의 출금 거래를 확인하십시오. 메커니즘이 무엇이 여전히 위험한지 결정하기 때문에 메커니즘을 파악해야 합니다. 일반적인 원인은 가짜 사이트에 서명한 토큰 approve, 전송을 승인하기 위해 온체인 거래가 필요 없는 gasless Permit 또는 Permit2 서명, 또는 공격자가 단순히 귀하의 키를 가지고 있는 완전한 시드 구문 손상입니다.
유출이 단일 스윕이었는지 아니면 여러 토큰에 걸친 전송 스트림이었는지 확인하십시오. ERC-20 토큰만 나갔고 기본 코인이 남아 있다면, 시드 구문 도난보다는 승인 또는 permit 익스플로잇을 다루고 있을 가능성이 높습니다. 기본 잔액을 포함한 모든 것이 사라졌다면, 시드 구문 자체가 손상되었다고 가정하십시오. 지금 드레이너 주소와 정확한 거래 해시를 기록해 두십시오. 나중에 취소 및 추적에 필요할 것입니다. 즉각적인 조치에 대한 더 광범위한 체크리스트는 당사의 암호화폐 지갑 복구 즉각적인 조치 가이드가 이 페이지에 유용한 동반자가 될 것입니다.
모든 체인에서 남은 허용 취소
드레이너는 하나의 승인만 사용하는 경우가 거의 없습니다. 그들은 종종 여러 개의 활성 허용을 보유하고 있으며, 점점 더 새로운 가치가 들어오는 순간 전송을 승인할 수 있는 오프체인 permit 서명을 사용합니다. 취소 도구 또는 더 나은 방법으로 손상되지 않은 지갑을 연결하고 모든 활성 허용을 검토하십시오. 악성 스펜더 계약을 취소하고, 인식하지 못하는 것일지라도 최대(무제한) 금액으로 설정된 모든 허용을 취소하십시오.
치명적인 실수는 하나의 체인에서 멈추는 것입니다. 동일한 주소는 Ethereum, Arbitrum, Base, Polygon, BNB Chain 등 여러 체인에 존재하며, 한 번 피싱 공격을 가한 공격자는 여러 체인에 승인을 심어두었을 수 있습니다. 자산을 보유했던 각 네트워크를 확인하십시오. 온체인 approve를 취소해도 서명된 permit이 취소되지 않는다는 점을 유의하십시오. permit은 사용될 때까지 오프체인에 존재하므로, 유일한 실제 방어책은 permit이 접근할 수 있는 기본 잔액을 제거하는 것입니다. 토큰 승인 취소 방법에 대한 단계별 안내는 각 체인별 정확한 메커니즘을 다룹니다.
털리지 않은 자산을 새 지갑으로 구출
남아있는 것이 있다면, 자동화된 스위퍼 봇이 반응하기 전에 빼내십시오. 먼저, 깨끗한 기기에서 완전히 새로운 시드 구문으로 새 지갑을 만드십시오. 손상된 시드 구문에서 파생시키지 말고, 오래된 백업을 재사용하지 마십시오. 남아있는 자산, NFT, 스테이킹된 포지션 및 모든 유동성을 이 새 주소로 보내십시오.
여기서 함정은 gas입니다. 털린 지갑에는 거래 수수료를 지불할 기본 코인이 남아있지 않을 수 있으며, 본능적으로 약간의 gas를 보내고 싶을 것입니다. 시드 구문이 손상된 지갑의 경우, 들어오는 gas는 해당 주소를 감시하는 봇에 의해 거의 항상 몇 초 내에 스윕되므로, 자신 대신 공격자에게 자금을 지원하게 됩니다. 시드 구문이 손상되었다면 gas를 전혀 보내지 마십시오. 그 지갑은 손실입니다. 승인만 악용되었고 개인 키가 여전히 비공개 상태라면 gas를 충전할 수 있지만, 가장 가치 있는 자산을 먼저 전송하고 단일 중단 없는 세션에서 행동하십시오.
손상된 시드 구문을 영구적으로 포기해야 하는 이유
시드 구문은 파생될 수 있는 모든 계정과 체인의 마스터 키입니다. 일단 악성 사이트, 가짜 지갑 앱 또는 이를 캡처한 피싱 프롬프트에 노출되었다면, 영원히 공개된 정보로 취급해야 합니다. 유출된 시드 구문을 교체하거나, 정리하거나, 부분적으로 신뢰하는 것은 불가능합니다. 공격자들은 알려진 손상된 주소를 무기한 모니터링하도록 봇을 스크립트하므로, 몇 달 후에도 나타나는 모든 가치는 즉시 탈취될 수 있습니다.
이것이 동일한 지갑 내에서 또는 동일한 시드 구문에서 파생된 다른 계정으로 자금을 옮기는 것이 아무것도 해결하지 못하는 이유입니다. 공격자도 해당 계정을 파생시킬 수 있기 때문입니다. 유일하게 안전한 방법은 깨끗한 기기에서 오프라인으로 생성된 새로운 시드 구문이며, 이상적으로는 하드웨어 지갑입니다. 이러한 탈취 흐름이 어떻게 작동하는지 이해하고 싶다면, 지갑 드레이너란 무엇인가에 대한 설명과 지갑 드레이너 공격 및 인식 방법에 대한 심층 분석을 참조하십시오.
보고를 위한 드레이너 주소 추적
1단계에서 드레이너 주소를 기록했습니다. 이제 이를 추적하십시오. 주소를 블록 탐색기에 붙여넣고 도난당한 자금이 어디로 흘러가는지 확인하십시오. 드레이너는 일반적으로 자산을 통합 지갑을 통해 라우팅한 다음 믹서 또는 중앙 집중식 거래소 입금 주소로 보냅니다. 자금이 거래소에 도달하면 해당 입금 주소가 가장 강력한 단서가 됩니다. 규제된 기관은 법 집행 기관이 신속하게 조치하면 이를 동결할 수 있기 때문입니다.
체인, 드레이너 주소, 통합 홉, 모든 거래 해시, 타임스탬프 및 대략적인 손실 USD 가치를 기록하십시오. 관련 거래소 남용 채널, 지역 사이버 범죄 당국, 그리고 악성 주소를 표시하는 지갑 드레이너 보고 데이터베이스에 신고하십시오. 현실적인 기대가 중요합니다. 추적은 자금을 거의 돌려주지 않지만, 증거를 구축하고, 거래소 예금을 동결하는 데 도움을 주며, 주소를 블랙리스트에 올려 다음 피해자를 보호합니다.
복구 가능한 것과 불가능한 것
결과에 대해 스스로에게 솔직해지십시오. 온체인 거래는 최종적이므로, 공격자가 이미 이동시킨 자산은 동결되는 거래소 계정에 있지 않는 한 사라집니다. 여전히 구할 수 있는 것은 드레이너가 아직 건드리지 않은 모든 것이며, 이것이 바로 구출 단계에서 속도가 그토록 중요한 이유입니다. 블록체인 전송을 되돌리겠다고 약속하는 보험, 환불 또는 "복구 서비스"는 거의 항상 두 번째로 당신을 털어가는 사기이므로, 도난당한 암호화폐를 복구하기 위해 선불 수수료를 절대 지불하지 마십시오.
지속적인 교훈은 예방입니다. 비상 상황 후에는 하드웨어 지갑, 위험한 승인을 위한 전용 버너 지갑, 그리고 정기적인 허용 위생으로 설정을 강화하십시오. 해커로부터 암호화폐를 보호하는 방법에 대한 저희 가이드는 단 한 번의 잘못된 서명이 다시는 주 지갑을 비우지 않도록 장기적인 방어책을 제시합니다.
이 기사는 교육 목적으로만 제공되며 재정적 조언이 아닙니다.