웹사이트에 연결하기 전 지갑 보안을 확인하는 방법

지갑 연결 프로토콜 무결성 확인

1. dApp이 더 이상 사용되지 않는 window.ethereum 해킹 대신 EIP-1193 호환 공급자 주입을 사용하는지 확인합니다. 레거시 주입 방법은 사용자 동의 없이 지갑 상태를 노출합니다.

2. window.ethereum을 무시하거나 공급자 이벤트를 하이재킹하려는 신뢰할 수 없는 스크립트 삽입이 있는지 브라우저 개발자 콘솔을 검사합니다.

3. 사이트가 인라인 스크립트와 승인되지 않은 도메인이 지갑 관련 로직을 실행하지 못하도록 차단하는 엄격한 콘텐츠 보안 정책 헤더를 시행하는지 확인하세요.

4. 제3자 분석 또는 광고 SDK가 web3 공급자에 대한 액세스를 요청하지 않도록 하십시오. 이러한 행위는 MetaMask의 권한 모델을 위반하고 악의적인 의도를 나타냅니다.

5. 조기 계정 노출로 인해 피싱 인식 지갑이 연결을 차단할 수 있으므로 dApp이 사용자가 시작한 작업 전에 eth_requestAccounts를 호출하지 않는지 확인합니다.

도메인 진위성 및 인증서 유효성 분석

1. Telegram, Discord 또는 Twitter의 링크를 클릭하는 대신 주소 표시줄에 도메인을 수동으로 입력합니다. 지갑 유출 사고의 67% 이상이 스푸핑된 소셜 미디어 리디렉션에서 발생합니다.

2. TLS 인증서가 신뢰할 수 있는 CA에서 발급되었으며 와일드카드 모호성 또는 일치하지 않는 주체 대체 이름 없이 정확한 도메인 이름과 일치하는지 확인합니다.

3. WHOIS를 통해 도메인 등록 날짜를 대조 확인합니다. DeFi 인터페이스를 호스팅하는 새로 등록된 도메인은 통계적으로 러그 풀이나 프런트 엔드 손상 위험이 더 높습니다.

4. ENS 조회 도구를 사용하여 도메인이 알려진 프로젝트 주소에 연결된 확인된 Ethereum Name Service 레코드로 확인되는지 확인합니다.

5. 녹색 자물쇠 아이콘 과 같은 시각적 표시기를 찾고 "안전하지 않음" 경고가 없는지 확인하십시오. 혼합 콘텐츠 경고 또는 인증서 체인 파손은 지갑 신뢰 가정을 무효화합니다.

초기화 중 지갑 제공업체 동작 검사

1. 계정을 노출하기 전에 지갑 확장 프로그램이 명시적인 권한 프롬프트를 표시하는지 관찰하십시오. 자동 자동 연결 흐름은 사용자 에이전시를 우회하며 위험 신호입니다.

2. rpc.uniswap.org 또는 api.metamask.io와 같은 비표준 엔드포인트에 대한 예상치 못한 RPC 호출이 있는지 네트워크 탭을 모니터링합니다. 이러한 호출은 종종 손상된 릴레이를 통해 프록시됩니다.

3. dApp이 페이지 재로드 시 세션 하이재킹을 가능하게 하는 전역 범위 또는 localStorage에 지갑 제공자 참조를 저장하거나 캐시하지 않는지 확인하십시오.

4. 사이트가 특정 지갑 유형(예: "if (window.trustWallet)")을 감지하려고 시도하고 변경된 UI 로직을 제공하는지 확인하십시오. 이는 표적 공격 준비 신호입니다.

5. 연결 해제 기능이 이벤트 리스너 제거 및 캐시된 공급자 개체 무효화를 포함하여 전체 공급자 정리를 트리거하는지 확인합니다.

거래 서명 보호 조치 평가

1. 서명 프롬프트 전에 모든 거래 요청이 원시 16진수 데이터, 가스 추정 및 수신자 주소를 사람이 읽을 수 있는 형식으로 표시하는지 확인합니다. 난독화된 필드는 악성 페이로드 마스킹을 나타냅니다.

2. dApp이 명확한 맥락 없이 임의의 메시지 서명을 허용하는지 테스트합니다. 이 기능은 여러 지갑 사칭 공격에서 남용되었습니다.

3. 승인() 호출에 정확한 토큰 허용 한도가 포함되어 있고 사용자 작업에 의해 명시적으로 정당화되지 않는 한 기본적으로 uint256.max로 설정되지 않는지 확인하십시오.

4. 단일 UI 작업에 의해 트리거된 중복 또는 중첩된 거래 요청을 확인합니다. 경쟁 조건 악용으로 인해 반복된 승인을 통해 지갑이 소진되었습니다.

5. 사이트가 사용자 확인 없이 eth_sendTransaction을 사용하여 거래를 미리 로드하지 않도록 하십시오. 이는 EIP-1102를 위반하고 자동 자금 이체를 가능하게 합니다.

온체인 계약 상호작용 패턴 검토

1. Blockscout 또는 Etherscan을 사용하여 배포된 계약 주소가 공식 문서에 게시되고 온체인에서 확인된 주소와 일치하는지 확인합니다.

2. 프록시 계약이 변경 불가능한 구현 슬롯이 있는 투명한 업그레이드 패턴을 사용하는지 확인합니다. 불투명한 프록시는 배포 후 코드 변경 사항을 모호하게 합니다.

3. dApp이 Immunefi 또는 OpenZeppelin Defender 모니터링 피드에 표시된 알려진 악성 주소와 상호 작용하는지 확인하세요.

4. 다중서명 또는 시간 잠금 메커니즘이 재무 인출 또는 오라클 업데이트와 같은 중요한 기능을 관리하는지 검증합니다. 부재는 중앙 집중화 위험을 나타냅니다.

5. 프런트엔드가 IPFS 또는 중앙 집중식 서버에서 계약 ABI를 동적으로 가져오는지 여부를 감사합니다. 변조된 ABI는 서명 중에 기능 매개변수를 잘못 나타낼 수 있습니다.

자주 묻는 질문

Q: 메시지를 표시하지 않고 자동으로 MetaMask를 로드하는 dApp을 신뢰할 수 있나요? 명시적인 사용자 시작 없이 자동 로딩은 EIP-1102를 위반하며 사이트가 지갑 계정의 백그라운드 열거를 시도하고 있을 수 있음을 나타냅니다.

Q: reCAPTCHA 대신 Cloudflare Turnstile을 사용하여 내 지갑을 사이트에 연결하는 것이 안전합니까? Cloudflare Turnstile은 본질적으로 지갑 보안을 향상시키지 않습니다. Cloudflare Turnstile은 계약 무결성을 검증하지도 않고 거래 페이로드의 프런트엔드 조작을 방지하지도 않습니다.

Q: HTTPS는 분산 애플리케이션에 연결할 때 지갑 안전을 보장합니까? HTTPS는 전송 계층 통신만 보호합니다. 악의적인 계약 논리, 감염된 ABI 파일 또는 손상된 프런트 엔드 JavaScript 번들에 대해 전혀 보호 기능을 제공하지 않습니다.

Q: 나중에 블랙리스트에 있는 계약에 대해 토큰 허용을 승인하면 어떻게 되나요? 일단 승인되면 계약은 수동으로 취소될 때까지 지출 권한을 유지합니다. 블랙리스트 상태는 기존 허용량을 소급하여 취소하거나 자금 이동을 방지하지 않습니다.