MetaMask에서 사기를 피하는 방법은 무엇입니까? 피싱 웹사이트를 식별하는 방법은 무엇입니까?

MetaMask 보안 기본 사항 이해

1. 항상 공식 웹사이트 Metamask.io 또는 검증된 앱 스토어에서만 MetaMask를 다운로드하세요. 타사 링크, 알 수 없는 소스의 브라우저 확장 프로그램, Telegram 또는 Discord 첨부 파일은 악성 코드가 포함된 위조 버전을 배포하는 경우가 많습니다.

2. 지원 상담원, 친구, 개발자 등 누구와도 12단어 복구 문구를 공유하지 마세요. 사기꾼은 종종 가짜 지원 채팅을 통해 MetaMask 직원을 사칭하여 "계정 확인" 또는 "긴급 보안 업데이트"와 같은 허위 문구를 추출합니다.

3. MetaMask 모바일 및 데스크톱 확장 설정 내에서 비밀번호 보호 및 생체 인식 인증을 활성화합니다. 이는 장치 액세스가 손상된 경우에도 로컬 방어 계층을 추가합니다.

4. dApp에 대한 자동 연결 권한을 비활성화합니다. 영구 액세스 권한을 부여하는 대신 각 연결 요청을 수동으로 승인하세요. 많은 피싱 사이트는 자동 연결 기능을 이용하여 무단 거래를 자동으로 시작합니다.

5. MetaMask 설정의 "연결된 사이트" 섹션을 사용하여 연결된 계정을 정기적으로 감사합니다. 사용되지 않거나 의심스러운 dApp 연결을 즉시 제거하십시오. 일부 악성 인터페이스는 초기 상호 작용 이후 오랫동안 세션 토큰을 유지합니다.

피싱 웹사이트 식별

1. 자격 증명을 입력하거나 거래에 서명하기 전에 URL 표시줄을 꼼꼼하게 검사하세요. 합법적인 Ethereum dApp은 HTTPS를 사용하지만 사기꾼은 SSL 인증서를 복제합니다. 도메인 철자법에 중점을 둡니다. uniswap.org 가 유효합니다. uniswapp.org , uniswap-support.net 또는 uniswap-eth.com 은 모두 알려진 피싱 도메인입니다.

2. 클릭하지 않고 탐색 링크 및 버튼 위로 마우스를 가져갑니다. 브라우저 상태 표시줄이나 개발자 도구는 기본 href 값을 표시합니다. 가짜 "Connect Wallet" 버튼은 종종 MetaMask의 기본 공급자 인터페이스를 호출하는 대신 악의적인 릴레이로 리디렉션됩니다.

3. 일관되지 않은 UI 요소가 있는지 확인하세요. 실제 dApp은 일관된 타이포그래피, 간격 및 대화형 피드백을 유지합니다. 피싱 복제본은 일반적으로 일치하지 않는 글꼴, 흐릿한 로고, 누락된 애니메이션 또는 낮은 복제 품질을 노출시키는 작동하지 않는 메뉴를 특징으로 합니다.

4. 토큰 승인을 승인하기 전에 계약 주소를 수동으로 확인하세요. Etherscan 또는 Blockscout를 사용하여 배포 날짜, 거래 내역 및 검증된 소스 코드를 확인하세요. 사기꾼은 주소가 약간 변형된 동일하게 생긴 토큰을 배포하여 사용자가 지갑으로의 이체를 승인하도록 속입니다.

5. 단축 URL을 완전히 피하세요. Bit.ly 또는 TinyURL과 같은 서비스는 대상 도메인을 모호하게 만듭니다. 합법적인 프로젝트는 핵심 지갑 상호 작용이나 토큰 청구 페이지에 링크 단축 프로그램을 거의 사용하지 않습니다.

트랜잭션 서명 모범 사례

1. 명시적으로 지출 권한을 부여하려는 의도가 아니라면 "승인", "모두에 대한 승인 설정" 또는 "이전 대상"이라는 라벨이 붙은 거래에 서명하지 마십시오. 이러한 조치를 통해 제3자 계약이 귀하의 지갑에서 자산을 무기한으로 인출할 수 있습니다.

2. MetaMask 팝업 창에서 모든 거래 내역을 검토하세요. 수신자 주소, 값, 함수 이름에 주의하세요. 악의적인 팝업에는 때때로 고위험 승인이 실행되는 동안 "스왑 확인"과 같은 오해의 소지가 있는 라벨이 표시됩니다.

3. 익숙하지 않은 프로토콜과 상호 작용할 때 Ledger 또는 Trezor와 같은 하드웨어 지갑을 사용하십시오. 이러한 장치에는 각 서명에 대한 물리적 확인이 필요하며 손상된 브라우저에서 시작된 자동 트랜잭션 브로드캐스트를 차단합니다.

4. 사용자 정의 RPC 끝점을 신중하게 설정하십시오. 가짜 네트워크 구성은 공격자가 제어하는 ​​노드를 통해 트랜잭션을 라우팅하여 프런트 러닝 또는 트랜잭션 마스킹을 가능하게 할 수 있습니다. Chainlist.org에 나열되어 있거나 공식 프로젝트 문서를 통해 확인된 네트워크만 추가하세요.

5. Etherscan을 통해 보류 중인 트랜잭션을 모니터링합니다. 예상치 못한 거래가 지갑의 활동 피드에 나타나는 경우 수수료별 교체(RBF)를 사용하여 즉시 취소하거나 네트워크 및 클라이언트에서 지원하는 경우 기능 속도를 높이세요.

자주 묻는 질문

Q: MetaMask 지원 담당자가 내 비밀 문구를 요청할 수 있나요? A: 아니요. MetaMask 직원은 절대로 12단어 복구 문구, 개인 키 또는 비밀번호를 요청하지 않습니다. 공식적인 지원을 요청하는 개인은 사기꾼입니다.

Q: 로딩 속도가 느리거나 인증서 경고가 표시되는 사이트에 MetaMask를 연결해도 안전한가요? A: 아니요. SSL 인증서 오류, 혼합 콘텐츠 경고 또는 로딩 시간 연장은 인프라가 손상되었거나 중간자 가로채기 시도를 나타내는 경우가 많습니다. 즉시 연결을 끊고 도메인을 독립적으로 확인하세요.

Q: 실수로 악의적인 승인 거래를 체결한 경우 어떻게 해야 하나요? A: TokenSniffer의 Revoke Contract 또는 Etherscan의 "Write Contract" 탭과 같은 도구를 사용하여 토큰 허용을 취소하십시오. 그런 다음 남은 자산을 새 지갑으로 옮기고 민감한 상호 작용을 위해 손상된 주소를 재사용하지 마십시오.

Q: MetaMask는 내 개인 키를 서버에 저장합니까? A: 아니요. MetaMask는 비수탁형 지갑입니다. 귀하의 개인 키는 귀하의 브라우저나 장치에서 로컬로 암호화된 상태로 유지됩니다. MetaMask는 이에 대한 액세스 권한이 없으며 지갑 내용을 복구, 재설정 또는 변경할 수 없습니다.