MetaMask가 서명을 요구하는 이유는 무엇입니까?

MetaMask의 서명 요청 이해

MetaMask는 표준 작업의 일부로 사용자에게 메시지나 거래에 서명하라는 메시지를 자주 표시합니다. 이러한 서명 요청은 임의적이지 않습니다. 그들은 이더리움 생태계와 분산 애플리케이션(dApp) 내에서 특정 기능을 제공합니다. 서명은 신원과 의도에 대한 암호화된 증거 역할을 하여 온체인 또는 오프체인에서 취한 조치가 정당한 지갑 소유자의 승인을 받도록 보장합니다.

개인 키를 노출하지 않고 인증

이 방법은 NFT 채굴 사이트나 토큰 게이트 콘텐츠 포털과 같이 지갑 확인이 필요한 플랫폼에서 널리 사용됩니다. 사용자는 자격 증명으로 로그인하는 대신 서비스에서 제공하는 짧고 무작위인 문자열에 서명합니다.

1. dApp은 고유한 챌린지 메시지를 생성합니다.
2. MetaMask는 사용자 검토를 위한 메시지를 표시합니다.
3. 승인되면 지갑은 로컬에 저장된 개인 키를 사용하여 서명합니다.
4. 서명은 dApp으로 다시 전송되어 공개 주소와 비교하여 확인됩니다.
5. 암호화 검사를 통과하면 액세스가 허용됩니다.

블록체인에서의 거래 승인

토큰 교환, 지출 한도 승인, 거버넌스 투표 참여 등 스마트 계약과 상호 작용할 때 MetaMask는 해당 작업을 승인하기 위해 서명을 요청합니다. 이 서명은 사용자가 거래를 실행하고 해당 조건을 수락할 의사가 있음을 확인합니다.

1. dApp은 MetaMask의 API를 통해 거래 요청을 트리거합니다.
2. MetaMask는 수신자, 가치, 데이터 페이로드를 포함한 거래 세부정보를 디코딩합니다.
3. 사용자는 가스비, 계약 주소, 기능 호출을 검토합니다.
4. 확인 후 MetaMask는 개인 키를 사용하여 서명을 생성합니다.
5. 서명된 거래는 블록에 포함되기 위해 이더리움 네트워크에 브로드캐스트됩니다.

메시지 서명의 보안 영향

서명은 필수적이지만 잘못 이해되면 위험이 따릅니다. 거래 확인과 달리 메시지 서명에는 항상 자금 전송이 포함되지는 않지만 악의적인 행위자가 이를 악용하여 무단 액세스 또는 권한을 얻을 수 있습니다.

1. 일부 피싱 사이트는 무해해 보이지만 자산에 대한 지속적인 액세스 권한을 부여하는 사기성 메시지를 표시합니다.
2. WalletConnect 세션 또는 토큰 승인은 서명된 메시지를 통해 시작될 수 있습니다.
3. 사용자는 그 의미를 디코딩하고 이해하지 않고 16진수로 인코딩된 데이터에 서명해서는 안 됩니다.
4. EIP-712 유형 서명의 재사용 가능한 nonce 및 도메인 구분 기호는 재생 공격을 방지하는 데 도움이 됩니다.
5. 항상 요청 도메인을 확인하고 확인하기 전에 메시지 내용을 검사하세요.

서명 프롬프트를 트리거하는 일반적인 시나리오

서명 요청은 Web3 환경 전반에 걸쳐 다양한 상황에서 발생합니다. 합법적인 사용 사례를 인식하면 사용자가 일상적인 작업과 잠재적인 위협을 구별하는 데 도움이 됩니다.

1. 지갑 기반 인증을 사용하여 분산형 거래소 또는 소셜 플랫폼에 로그인합니다.
2. 소유권 진술서에 서명하여 에어드랍 자격을 확인합니다.
3. 가스 비용을 지불하지 않고 DAO 거버넌스에 투표를 제출합니다(오프체인 투표).
4. 레이어 2 네트워크 또는 크로스체인 브리지와의 상호작용을 초기화합니다.
5. NFT 드롭에 대한 화이트리스트 상태를 수신하기 위해 계정에 대한 제어권을 증명합니다.

무분별한 서명과 관련된 위험

서명의 편리함에는 책임이 따릅니다. 공격자는 사용자를 속여 유해한 메시지에 서명하도록 유도하여 자금 손실이나 무단 액세스를 초래하는 정교한 사기를 설계합니다.

1. 악성 dApp은 사기 계약에 대한 무제한 토큰 허용을 승인하는 서명을 요청할 수 있습니다.
2. 가짜 로그인 화면은 합법적인 서비스를 모방하여 서명을 수집하여 사용자를 사칭합니다.
3. 서명된 메시지는 사기성 보상 프로그램에 지갑을 등록하는 데 사용될 수 있습니다.
4. 부도덕한 프로젝트는 표적 공격을 위해 지갑 보유량을 매핑하기 위해 서명을 수집합니다.
5. 읽지 않고 승인하는 블라인드 서명은 자산 도난의 가장 큰 원인 중 하나입니다.

자주 묻는 질문

MetaMask가 나에게 메시지 서명을 요청하는 것은 무엇을 의미합니까? 이는 웹사이트나 애플리케이션이 귀하의 지갑 주소 소유권을 확인하려고 한다는 의미입니다. 귀하는 주소에 연결된 개인 키를 귀하가 제어한다는 증거로 사용되는 데이터 조각에 암호화된 서명을 요청받게 됩니다.

누군가 서명만으로 내 암호화폐를 훔칠 수 있나요? 직접적으로는 아니지만 제대로 검토되지 않은 서명으로 인해 계약서에 토큰에 대한 무제한 액세스 권한을 부여하는 등의 위험한 조치가 승인될 수 있습니다. 서명 자체는 개인 키를 노출시키지 않지만 잘못 사용될 경우 공격자가 자금을 유출할 수 있습니다.

무료 NFT나 에어드랍을 위해 메시지에 서명하는 것이 안전한가요? 안전은 소스에 따라 다릅니다. 사이트의 평판이 좋고 메시지가 명확하고 민감하지 않다면 안전할 수 있습니다. 그러나 서명을 요구하는 알려지지 않은 플랫폼은 특히 광범위한 권한을 요청하는 경우 주의해서 처리해야 합니다.

일부 서명이 임의의 문자처럼 보이는 이유는 무엇입니까? 16진수 형식으로 표시되는 메시지는 구조화된 데이터를 인코딩합니다. 무작위로 보이지만 계약 주소나 권한과 같은 중요한 정보가 포함되어 있는 경우가 많습니다. 실제 목적을 이해하려면 서명하기 전에 도구를 사용하여 EIP-712 메시지를 디코딩하세요.