MetaMask에 연결된 악성 계약을 어떻게 확인하나요?

이더리움 생태계의 악성 계약 이해

1. 이더리움과 같은 블록체인 네트워크의 스마트 계약은 코드가 공개적으로 저장된 자체 실행 계약입니다. 투명성은 강점이지만 악의적인 행위자가 유해한 계약을 전개할 수 있는 기회를 열어주기도 합니다. 이는 사용자 권한이나 사기성 인터페이스를 이용하여 MetaMask와 같은 연결된 지갑에서 자금을 빼내도록 설계될 수 있습니다.

2. 사용자가 MetaMask를 탈중앙화 애플리케이션(dApp)에 연결하면 자신도 모르게 토큰에 과도한 승인 권한을 부여할 수 있습니다. 예를 들어, 계약에 ERC-20 토큰의 무제한 허용을 승인하면 언제든지 원하는 금액을 인출할 수 있습니다. 이는 신뢰를 얻은 후 자산을 훔치기 위해 악의적인 계약에서 사용하는 일반적인 벡터입니다.

3. 가짜 dApp은 인기 있는 탈중앙화 거래소나 NFT 마켓플레이스와 같은 합법적인 플랫폼을 모방하여 사용자를 속여 지갑을 연결하는 경우가 많습니다. 일단 연결되면 이러한 사이트는 무해해 보이지만 실제로는 공격자가 제어하는 ​​주소로 자금 제어권을 이전하는 거래를 승인하는 서명 요청을 표시합니다.

4. 일부 계약에는 특정 가격 임계값이 충족될 때 대규모 토큰 전송을 실행하는 등 특정 조건에서 활성화되는 숨겨진 기능이 포함되어 있습니다. 이러한 논리 폭탄은 활용될 때까지 휴면 상태로 유지되므로 표면 수준 분석을 통해 탐지하기가 어렵습니다.

5. 오픈 소스 도구와 커뮤니티 기반 데이터베이스는 의심스러운 계약을 표시하는 데 도움이 되지만 난독화 기술과 여러 테스트넷 및 메인넷에 걸친 빠른 배포 주기로 인해 여전히 많은 악성 배포가 빠져나가고 있습니다.

위험한 계약을 식별하는 도구 및 방법

1. Etherscan의 계약 확인 및 분석 기능을 사용하여 상호 작용하기 전에 계약의 소스 코드를 검토하십시오. 확인되지 않은 바이너리, 알 수 없는 주소에 대한 외부 호출 또는 명확한 정당성 없이 잔액에서 직접 토큰 전송을 허용하는 기능과 같은 위험 신호를 찾으세요.

2. MetaMask와 직접 통합되어 알려진 피싱 도메인을 방문하거나 위험한 거래에 서명을 시도할 때 실시간 경고를 제공하는 Pocket Universe 또는 Cyvers Guard와 같은 보안 중심 브라우저 확장을 사용합니다.

3. Tenderly 또는 Forta와 같은 도구를 사용하여 거래 시뮬레이션을 분석합니다. 이러한 플랫폼은 온체인을 확인하기 전에 예상 가스 비용, 자산 이동 및 잠재적 승인을 포함하여 메시지에 서명하면 어떤 일이 발생하는지 보여줍니다.

4. revoke.cash 또는 DeBank와 같은 웹사이트를 통해 토큰 승인을 확인하세요. 이러한 서비스는 귀하의 지갑 주소에 연결된 모든 활성 토큰 허용량을 나열하고 더 이상 신뢰하지 않거나 인식하지 못하는 계약에 대한 액세스를 취소할 수 있게 해줍니다.

5. MetaMask의 내부 활동 로그를 통해 계약 상호 작용을 모니터링합니다. 과거 거래 및 연결 이벤트를 정기적으로 검토하세요. 익숙하지 않은 계약 주소는 BlockSec 또는 SlowMist와 같은 위협 인텔리전스 플랫폼과 상호 참조되어야 합니다.

계약 위협으로부터 MetaMask를 보호하기 위한 모범 사례

1. 항상 dApp URL의 신뢰성을 확인하세요. 공식 사이트를 북마크에 추가하고 소셜 미디어나 이메일 메시지의 링크가 신뢰할 수 있는 출처에서 나온 것처럼 보이더라도 클릭하지 마세요.

2. 광범위한 권한을 요구하는 서명되지 않은 메시지나 거래 요청, 특히 토큰 계약의 "승인" 또는 "허용" 기능과 관련된 요청을 거부하세요. 가능할 때마다 무한한 허용량을 부여하는 대신 필요한 정확한 금액으로 승인을 제한하십시오.

3. 추가 보호를 위해 MetaMask와 함께 Ledger 또는 Trezor와 같은 하드웨어 지갑을 사용하십시오. 하드웨어 장치는 민감한 작업에 대해 물리적 확인이 필요하므로 실수로 인증할 위험이 줄어듭니다.

4. MetaMask의 고급 개인 정보 보호 설정을 활성화하여 자동 네트워크 감지를 방지하고 트래픽을 악성 노드로 리디렉션할 수 있는 무단 RPC 변경을 방지합니다.

5. MetaMask의 "연결된 사이트" 섹션에서 지갑의 연결된 사이트를 정기적으로 감사하세요. 더 이상 사용하지 않거나 즉시 식별할 수 없는 애플리케이션의 연결을 끊습니다.

자주 묻는 질문

내 토큰을 사용하도록 승인된 계약이 무엇인지 어떻게 확인할 수 있나요? revoke.cash 또는 DeBank를 방문하여 MetaMask 지갑을 연결하세요. 두 플랫폼 모두 현재 귀하의 주소에서 활성화된 토큰 허용량의 전체 목록을 표시하여 각 계약이 철회할 수 있는 금액과 승인 시기를 보여줍니다.

피싱 계약 시뮬레이션은 어떤 모습인가요? 시뮬레이션 도구는 보류 중인 거래에 대한 자세한 미리보기를 보여줍니다. 피싱 시도로 인해 예상치 못한 전송, 높은 가스 사용량 또는 알 수 없는 프록시 계약에 대한 호출이 드러날 수 있습니다. 인터페이스는 익숙하지 않은 코드베이스에서 발생하는 "drain" 또는 "sweepFunds"라는 라벨이 붙은 함수 호출과 같은 예외 사항을 강조 표시합니다.

Etherscan에서 검증된 계약이 여전히 악성일 수 있나요? 예. 확인은 소스 코드가 배포된 바이트코드와 일치한다는 의미일 뿐이며 안전을 보장하지는 않습니다. 공격자는 백도어를 삽입하거나 사회 공학을 활용하여 실행 중에 유해한 결과를 유발하는 동안 겉으로는 무해해 보이는 코드를 게시하는 경우가 많습니다.

Web3 플랫폼에서 로그인 메시지에 서명하는 것이 안전한가요? 대부분의 로그인 서명은 무해하지만 일부에는 토큰 승인 또는 지갑 위임을 허용하는 숨겨진 용어가 포함되어 있습니다. 완전히 이해하고 예상하지 않는 한, 원시 16진수 데이터나 "승인", "위임" 또는 "승인"과 같은 단어가 포함된 메시지에 서명하지 마십시오.