암호화폐를 거래소에 보관하는 것이 안전한가요? (위험 및 모범 사례)

거래소에 암호화폐를 남길 때의 위험

1. Exchange 해킹은 여전히 ​​가장 빈번하고 파괴적인 위협 중 하나입니다. 2015년 Mt. Gox, Bitstamp, 최근의 CoinEx 및 Bybit 지갑 침해 사건과 같은 역사적 사건은 중앙 집중식 플랫폼이 어떻게 핫 지갑을 목표로 하는 악의적인 행위자를 유인하는지 보여줍니다.

2. 규제 발작은 예고 없이 발생할 수 있습니다. 미국이나 한국과 같은 관할권의 당국은 사용자가 불법 활동에 연루되지 않은 경우에도 조사 중에 사용자 자산을 동결했습니다.

3. 플랫폼 파산으로 인해 출금이 무기한 중단될 수 있습니다. FTX의 붕괴는 거래소가 유동성 수요를 충족하지 못할 경우 혼합된 고객 자금과 불투명한 대차대조표 관행으로 인해 보유자가 어떻게 총 손실을 입을 수 있는지를 보여주었습니다.

4. 내부 관리 부실이나 직원의 악의적인 행동은 비기술적 위험을 초래합니다. 출금 지연, 무단 전송 또는 직원의 API 키 오용이 여러 중간 계층 교환에서 문서화되었습니다.

5. 관할권의 법적 모호성은 자산 회수를 복잡하게 만듭니다. 암호화폐 소비자 보호가 약한 국가의 사용자는 파산 절차나 국경 간 소송 중에 자금을 청구할 자격이 부족한 경우가 많습니다.

핫 월렛 취약점

1. 핫 지갑은 인터넷에 연결되어 있기 때문에 본질적으로 원격 공격에 취약합니다. 공격자는 노출된 RPC 엔드포인트, 오래된 노드 소프트웨어 또는 보안이 취약한 API 통합을 검색합니다.

2. 공유 인프라로 폭발 반경이 늘어납니다. 수십 개의 거래소 핫 지갑을 호스팅하는 손상된 단일 서버는 공유 백엔드 시스템에서 운영되는 여러 브랜드에 걸쳐 연속적인 손실을 초래할 수 있습니다.

3. 트랜잭션 서명 논리 결함으로 인해 재생 공격과 서명 가단성 악용이 가능해졌습니다. 이러한 문제로 인해 공격자는 확인 전에 보류 중인 트랜잭션을 가로채고 변경할 수 있습니다.

4. 제3자 보관 통합으로 인해 종속성 위험이 발생합니다. 거래소가 외부 다중서명 공급자나 하드웨어 보안 모듈 공급업체에 의존하는 경우 해당 서비스의 취약점은 최종 사용자 잔액에 직접 전파됩니다.

5. 간격을 모니터링하면 은밀한 배수가 가능합니다. 온체인 기록과 내부 원장 간의 실시간 잔액 조정이 일관되지 않게 구현되기 때문에 일부 위반은 며칠 동안 감지되지 않습니다.

냉장 보관 제한 사항

1. 모든 냉장 보관이 똑같이 안전한 것은 아닙니다. 오래된 펌웨어나 재사용된 암호화 키를 사용하는 에어 갭 머신은 엔트로피를 줄이고 개인 키 생성의 예측 가능성을 높입니다.

2. 물리적 액세스 제어 실패로 인해 에어갭 무결성이 훼손됩니다. 내부자 위협이나 손상된 시설 직원은 문서화된 사례에서 생체 인식 잠금 장치와 변조 방지 봉인을 우회했습니다.

3. 복구 프로세스 병목 현상으로 인해 긴급 상황 시 대응이 지연됩니다. 지리적으로 분산된 서명자가 포함된 수동 서명 절차는 시장 변동성이 급등할 때 긴급 인출을 늦춥니다.

4. 오프라인 키 생성 환경은 공급망 수준에서 손상될 수 있습니다. 압수된 장치에 대한 포렌식 분석에서 하드웨어 지갑 제조 도구에 사전 설치된 악성 코드가 관찰되었습니다.

5. 다중 서명 체계에는 엄격한 정족수 적용이 필요합니다. 다수의 재정의 또는 임시 키 재활성화를 허용하는 거래소는 일방적인 자금 이동을 방지하기 위한 거버넌스 보호 장치를 우회합니다.

사용자가 제어하는 ​​지갑 보안

1. 자기 양육권은 책임을 옮기지만 위험 노출은 아닙니다. 시드 문구를 잘못 배치하거나, ​​클라우드 드라이브에 백업을 저장하거나, 지갑 체크섬을 확인하지 못한 사용자는 손실에 대해 전적인 책임을 집니다.

2. 브라우저 확장 지갑은 지속적인 주입 위험에 직면해 있습니다. 악성 npm 패키지와 손상된 CDN은 인기 있는 지갑 인젝터의 트로이 목마 버전을 의심하지 않는 거래자에게 전달했습니다.

3. 모바일 지갑 샌드박싱은 완벽하지 않습니다. Android 루팅 및 iOS 탈옥은 중요한 격리 계층을 비활성화하여 키로거 및 클립보드 하이재커가 니모닉 입력을 캡처할 수 있도록 합니다.

4. 하드웨어 지갑 펌웨어 업데이트는 오프라인에서 검증되어야 합니다. 서명되지 않은 업데이트 또는 MITM이 가로채는 업데이트로 인해 과거 펌웨어 출시 주기 동안 신뢰할 수 있는 장치에 백도어가 도입되었습니다.

5. 거래 시뮬레이션 기능이 자주 비활성화되거나 부정확합니다. 미리보기 기능을 사용하는 사용자는 잘못된 상태 추정으로 인해 잘못된 수취인 주소 또는 과도한 가스 요금으로 이체를 승인할 수 있습니다.

자주 묻는 질문

Q: 거래소가 나에게 알리지 않고 내 지갑을 동결할 수 있나요? 예. 대부분의 거래소 서비스 약관은 사용자 통지와 관계없이 규정 준수 검토, KYC 확인 실패 또는 의심되는 비정상적인 행동 중에 계정을 정지할 수 있는 일방적인 권한을 부여합니다.

Q: 보험 정책은 거래소에서 도난당한 암호화폐를 보장합니까? 대부분의 거래소에서 제공하는 보험은 핫월렛 손실에만 적용되며 사용자 오류, 피싱 또는 사회 공학으로 인한 도난은 제외됩니다. 보장 한도는 보관된 총 자산의 10%를 초과하는 경우가 거의 없습니다.

Q: Ledger Nano X로 출금하는 것이 Binance에 자금을 보관하는 것보다 안전한가요? 예. 장치가 공장에서 갓 나온 경우 펌웨어는 오프라인으로 확인되고 복구 문구는 변조 방지 미디어를 사용하여 물리적으로 오프라인으로 저장됩니다.

Q: 내가 보유한 토큰을 거래소에서 상장폐지하면 내 코인은 어떻게 되나요? 상장 폐지로 인해 잔액이 자동으로 제거되지는 않지만 거래 기능이 비활성화됩니다. 귀하는 철회할 때까지 소유권을 유지하지만 해당 토큰의 블록체인에 대한 지원이 중단되어 향후 양도가 불가능할 수 있습니다.