브라우저 확장 지갑 사용의 장단점(편의성 대 보안성)

브라우저 확장 지갑의 편의성 요소

1. 인터페이스나 장치를 전환하지 않고도 분산형 애플리케이션에 즉시 액세스할 수 있습니다.

2. dApp 상호 작용 중에 활성 브라우저 탭에서 직접 원활한 트랜잭션 서명이 가능합니다.

3. 최소한의 설정으로 Uniswap, Aave, PancakeSwap과 같은 프로토콜에 원클릭으로 연결됩니다.

4. 연결된 체인에서 ERC-20, BEP-20 및 SPL 토큰을 자동 감지하는 내장형 토큰 검색 기능.

5. 세션 전반에 걸쳐 자주 수신자를 기억하는 통합 주소록 기능.

확장 기반 지갑에 내재된 보안 취약점

1. 지갑이 잠겨 있거나 사용되지 않는 경우에도 활성 상태로 유지되는 지속적인 백그라운드 스크립트.

2. 악성 웹사이트가 삽입된 web3 공급자를 악용하여 무단 서명 요청을 트리거하는 권한 확대 위험이 있습니다.

3. 손상된 확장 업데이트 서버 또는 타사 종속성을 통한 공급망 공격에 노출됩니다.

4. 하드웨어 격리 부족 - 개인 키는 보안 엔클레이브나 에어갭 장치가 아닌 브라우저 메모리에 상주합니다.

5. 합법적인 지갑 메시지를 모방하는 탭 탐색 및 UI 수정 공격에 대한 취약성.

확장 설계로 인해 증폭되는 행동 위험

1. 반복 노출로 인해 페이로드 세부 사항을 검토하지 않고 서명 요청을 상습적으로 승인합니다.

2. 기본적으로 활성화된 자동 연결 기능을 통해 지갑 계정이 피싱 도메인에 실수로 노출됩니다.

3. 암호화되지 않은 일반 텍스트 파일이나 클라우드 동기화 메모에 저장된 니모닉 문구 백업에 대한 과도한 의존.

4. 호환되지 않는 EVM 호환 체인에서 의도하지 않은 자산 전송으로 이어지는 잘못 구성된 네트워크 설정.

5. 교차 사이트 스크립트가 지갑 관련 식별자가 포함된 DOM 요소를 읽을 수 있도록 허용하는 공유 원본 권한입니다.

대체 지갑 아키텍처와의 비교

1. 하드웨어 지갑은 거래 전에 물리적 확인을 시행하여 원격 서명 하이재킹을 제거합니다.

2. 모바일 지갑은 데스크톱 브라우저에서 사용할 수 없는 OS 수준 샌드박싱 및 생체 인식 세션 잠금의 이점을 누릴 수 있습니다.

3. Rabby와 같은 자체 관리형 웹 지갑은 기본 탐색 컨텍스트와 별도로 격리된 서명 환경을 제공합니다.

4. 다중 서명 보관소에는 독립적인 장치 전반에 걸쳐 조정된 승인이 필요하므로 일방적인 손상에 대한 기준이 높아집니다.

5. Sparrow Wallet과 같은 에어갭 서명 도구는 방송 단계에서 개인 키 노출을 완전히 방지합니다.

자주 묻는 질문

Q: 브라우저 확장 지갑을 공용 컴퓨터에서 안전하게 사용할 수 있나요? 아니요. 공용 컴퓨터는 키로거, 클립보드 모니터 또는 시드 문구나 거래 서명을 가로채는 악성 확장 프로그램을 호스팅할 수 있습니다.

Q: 모든 브라우저 확장 지갑은 개인 키를 로컬에 저장합니까? 대부분이 그러하지만 일부는 암호화된 클라우드 동기화 또는 비밀번호와 연결된 계층적 결정론적 파생을 사용합니다. 이로 인해 백엔드 인프라에 대한 추가 신뢰 가정이 도입됩니다.

Q: 브라우저 확장 지갑을 통해 연결한 후 dApp의 접근 권한을 취소할 수 있나요? 예. 사용자는 지갑의 권한 관리자 인터페이스를 사용하여 개별 사이트에서 수동으로 연결을 끊을 수 있지만, 이전에 서명한 승인이 소급하여 무효화되지는 않습니다.

Q: 확장 지갑은 가스 추정 실패를 어떻게 처리합니까? 이는 사용자 또는 기본 공급자가 제공하는 RPC 끝점에 의존합니다. 부정확한 추정은 종종 노드 대기 시간, 체인 정체 오류 또는 지원되지 않는 EIP-1559 구성으로 인해 발생합니다.