NFT 보안 가이드: 사기를 방지하고 자산을 보호하는 방법.

NFT 지갑 취약점 이해

1. 암호화되지 않은 텍스트 파일에 저장된 개인 키는 파일 액세스 권한이 있는 모든 사람에게 완전한 자산 제어권을 제공합니다.

2. 여러 플랫폼에서 비밀번호를 재사용하면 NFT 마켓플레이스를 표적으로 하는 크리덴셜 스터핑 공격의 위험이 높아집니다.

3. 과도한 권한이 있는 브라우저 확장 프로그램은 지갑 서명 요청을 가로채고 거래를 공격자가 제어하는 ​​주소로 리디렉션할 수 있습니다.

4. MetaMask 또는 Phantom 로그인 인터페이스를 모방한 피싱 사이트는 사용자를 속여 악의적인 계약 승인을 승인하도록 합니다.

5. 서명 프롬프트 중에 하드웨어 지갑 연결이 끊어지면 사용자가 위험 전환을 깨닫지 못한 채 안전하지 않은 소프트웨어 대안을 사용하게 될 수 있습니다.

NFT 프로젝트의 스마트 계약 위험

1. 감사되지 않은 계약에는 공격자가 로열티 메커니즘이나 민트 기능을 고갈시킬 수 있는 재진입 취약점이 포함되어 있는 경우가 많습니다.

2. ERC-6551 토큰 바인딩 계정에 내장된 악의적인 전송 후크는 소유권 변경 시 승인되지 않은 자산 이동을 유발할 수 있습니다.

3. 업그레이드 가능한 계약에 하드코딩된 소유자 주소는 중앙화된 엔터티에 메타데이터 및 발행 매개변수에 대한 일방적 제어를 제공합니다.

4. 민트 기능의 부풀려진 가스 추정치는 단순한 토큰 생성 이상의 추가 상태 변경을 실행하는 숨겨진 논리를 모호하게 만듭니다.

5. 'emergencyPause'라고 표시된 기능에는 시간 잠금이나 다중 서명 보호 기능이 없는 경우가 많아 예고 없이 모든 사용자 자산을 즉시 동결할 수 있습니다.

시장별 위협 벡터

1. OpenSea의 가짜 컬렉션 목록은 합법적인 프로젝트와 동일하게 보이지만 탐지를 피하기 위해 계약 이름에 동음이의어 문자를 사용합니다.

2. 입찰 저격 봇은 보류 중인 제안을 모니터링하고 높은 가스 수수료로 더 높은 가치의 거래를 제출하여 확인 전에 저평가된 자산을 포착합니다.

3. 중앙 집중식 서버에서 호스팅되는 오프체인 메타데이터를 통해 프로젝트 소유자는 생성 후 이미지 해시를 악성 콘텐츠로 자동으로 교체할 수 있습니다.

4. 로열티 집행은 창작자에게 직접 ETH 전송을 통해 우회하여 플랫폼 수준의 수수료 징수를 우회하여 아티스트가 보상을 받지 못하게 합니다.

5. 서명 검증이 부족한 크로스체인 브릿지 통합으로 인해 네트워크 전체에서 희귀 토큰을 복제하는 위조된 크로스체인 발행 이벤트가 허용됩니다.

피싱 및 사회 공학 전술

1. 검증된 배지 복제 서버 구조를 사용하여 지갑 연결이 필요한 가짜 에어드랍 청구 포털을 호스팅하는 Discord 사칭.

2. 손상된 유명 계정의 트위터 DM은 희귀도 분석기로 위장한 지갑 드레이너 스크립트로 이어지는 단축 링크를 전달합니다.

3. 공식적으로 보이는 이메일 템플릿을 통해 생성된 가짜 지원 티켓은 긴급한 구실로 시드 문구 확인을 요청합니다.

4. '화이트리스트 지점'을 광고하는 텔레그램 그룹은 환불 메커니즘 없이 비계약 주소에 대해 선불 ETH 지불을 요구합니다.

5. 화상 통화 사기는 화면 공유 세션을 통해 개인 키를 노출하도록 피해자를 안내하는 지갑 복구 전문가로 가장합니다.

자주 묻는 질문

Q: NFT 계약이 감사되었는지 확인할 수 있나요? 답: 그렇습니다. 계약의 '계약' 탭에 링크된 감사 보고서를 Etherscan에서 확인하세요. 프로젝트 문서에 있는 자체 인증된 주장뿐만 아니라 CertiK 또는 OpenZeppelin과 같은 평판이 좋은 회사의 서명을 찾으십시오.

Q: 일부 NFT에서 애그리게이터에 대한 최저 가격이 0으로 표시되는 이유는 무엇입니까? A: 이는 지원되는 탈중앙화 거래소에 유효한 판매 주문이 없거나 컬렉션의 계약이 인덱싱 서비스에 필요한 표준 전송 이벤트를 내보내지 못하는 경우에 발생합니다.

Q: NFT 마켓플레이스에 대해 무제한 지출 허용을 승인하는 것이 안전한가요? A: 아니요. 무제한 승인을 통해 지갑에 보관된 모든 토큰에 영구적으로 액세스할 수 있습니다. Revoke.cash와 같은 도구를 사용하여 각 거래 전에 필요한 정확한 금액으로 수당을 줄이세요.

Q: NFT의 메타데이터가 IPFS에 저장되어 있는지 어떻게 확인하나요? A: Etherscan에서 토큰의 원시 데이터를 확인하세요. tokenURI 필드가 ipfs:// 로 시작하면 분산 저장소를 가리킵니다. URI가 알 수 없는 엔터티에 의해 제어되는 HTTP 엔드포인트로 확인되는 토큰을 사용하지 마세요.