아이스피싱 공격이란?

정의와 메커니즘

1. 아이스 피싱 공격은 공격자가 사용자를 속여 암호화폐 지갑에 대한 무단 액세스를 허용하는 악의적인 거래에 서명하도록 하는 기만적인 기술입니다.

2. 자격 증명을 훔치는 기존 피싱과 달리 아이스 피싱은 지갑 서명 요청을 악용하여 피해자가 자신도 모르게 토큰 허용 또는 이체 승인을 승인하도록 만듭니다.

3. 공격자는 일반적으로 합법적인 DeFi 플랫폼이나 NFT 마켓플레이스를 모방한 가짜 분산 애플리케이션(dApp) 인터페이스를 호스팅합니다.

4. 사용자가 MetaMask와 같은 Web3 지갑을 연결하고 루틴으로 제시된 거래에 서명하면 실제로 자신의 주소에서 자산을 인출하는 스마트 계약이 승인됩니다.

5. 승인되면 공격자는 추가 사용자 상호 작용이나 확인 없이 언제든지 토큰을 유출할 수 있습니다.

일반적인 벡터 및 플랫폼

1. 텔레그램 그룹, Discord 서버, Twitter/X DM을 통해 배포되는 악성 링크는 종종 위조 에어드랍 청구 페이지로 이어집니다.

2. 손상된 GitHub 저장소 또는 npm 패키지는 개발자가 사용하는 오픈 소스 지갑 통합에 악성 코드를 삽입합니다.

3. 지갑 커넥터로 가장한 가짜 브라우저 확장 프로그램은 설치 또는 최초 사용 시 서명 권한을 요청합니다.

4. 손상된 광고 네트워크는 암호화폐 뉴스 사이트에 유해한 배너를 제공하여 사용자를 모방 스테이킹 대시보드로 리디렉션합니다.

5. 검색 엔진 최적화 조작은 "Uniswap v3 유동성 계산기"와 같은 의도가 높은 쿼리에 대해 사기성 dApp을 실제 dApp보다 높게 만듭니다.

기술적 특성

1. 아이스 피싱과 관련된 거래에는 ETH 전송이 포함되는 경우가 거의 없습니다. 대신 ERC-20 또는 ERC-721 계약을 대상으로 승인() 호출을 배포합니다.

2. 공격자는 "initReward" 또는 "setManager"와 같이 겉으로는 무해해 보이는 함수 이름을 사용하여 악성 계약에 무제한 지출 권한을 부여하는 제로 주소 허용을 자주 사용합니다.

3. 서명 페이로드는 종종 EIP-712 유형의 데이터 구조를 사용하여 난독화되어 사람이 읽을 수 있는 도메인 구분 기호와 마스크된 메시지 필드 뒤에 진정한 의도를 숨깁니다.

4. 일부 변종은 일괄 서명 요청을 사용하여 의심을 줄이기 위해 여러 승인을 하나의 프롬프트로 묶습니다.

5. 이러한 공격에 사용되는 계약 주소는 온체인 보안 스캐너의 탐지를 피하기 위해 새로 배포되고 검증되지 않은 EVM 호환 체인에 있는 경우가 많습니다.

실제 사건

1. 2023년 6월, 가짜 Arbitrum 브릿지 사이트를 통해 300개가 넘는 지갑이 손상되어 사용자가 "낙관적 동기화 승인"에 서명하도록 유도했습니다. 이는 실제로 악성 계약에 대한 토큰 허용이었습니다.

2. 2024년 초 OpenSea 사용자를 대상으로 한 피싱 캠페인은 SSL 인증서 스푸핑으로 복제된 도메인을 활용하여 피해자가 NFT 도난을 가능하게 하는 "수집 확인" 거래에 서명하도록 유도했습니다.

3. 숨겨진 setApprovalForAll() 로직이 포함된 타사 분석 SDK를 통합한 후 Polygon의 여러 지갑 연결 게임이 대량 악용을 겪었습니다.

4. 가장된 Ledger Live 업데이트 페이지는 사용자가 BSC의 BEP-20 토큰 전송 계약을 비밀리에 승인하는 펌웨어 검증 요청에 서명하도록 유도했습니다.

5. Blur 마켓플레이스의 가짜 버전은 지갑 연결 이벤트를 가로채고 합법적인 서명 페이로드를 공격자가 제어하는 ​​페이로드로 대체하는 악성 JavaScript를 주입했습니다.

자주 묻는 질문

Q: 하드웨어 지갑으로 아이스피싱을 예방할 수 있나요? A: 하드웨어 지갑은 서명하기 전에 거래 세부 정보를 표시하지만 사용자가 표시된 데이터를 잘못 해석하거나 확인 단계를 건너뛸 경우 여전히 위험한 허용량을 승인할 수 있습니다.

Q: 토큰 허용량을 취소하면 아이스피싱 사고 후 피해가 완전히 완화되나요? A: 취소하면 향후 인출이 중단되지만 이미 도난당한 자산을 복구할 수는 없습니다. 이는 공격자가 전송을 시작하기 전에 수행되어야 합니다.

Q: 모바일 Web3 브라우저는 데스크톱 브라우저보다 아이스 피싱에 더 취약합니까? 답변: 모바일 인터페이스는 종종 서명 프롬프트를 덜 자세한 보기로 압축하여 블라인드 승인 가능성을 높입니다. 특히 dApp 디버깅 도구가 제한된 iOS Safari에서는 더욱 그렇습니다.

Q: 일부 블록체인 탐색기가 아이스 피싱 계약을 악성 계약으로 표시하지 못하는 이유는 무엇입니까? A: 이러한 계약에는 배포 시 명백히 유해한 opcode가 포함되어 있지 않은 경우가 많습니다. 이들의 위험은 특정 서명 컨텍스트 및 외부 호출 패턴과 결합될 때만 나타납니다.