ERC-20 토큰: 수정에도 불구하고 여전히 암호화폐 사기의 온상

암호화폐 산업에서 널리 사용되는 ERC-20 토큰은 여전히 ​​도난에 취약합니다. 효율성을 높이기 위한 업데이트로 인해 악의적인 행위자가 악용할 수 있는 새로운 허점이 생겼습니다. 문제의 심각성에도 불구하고 ERC-20 토큰을 표적으로 삼은 사기가 계속 증가하고 있으며 숙련된 암호화폐 사용자도 피해자가 되고 있습니다. 스마트 계약의 불변성으로 인해 ERC-20 설계의 결함을 수정하려는 노력이 복잡해지고 사회 공학적 전술이 이러한 공격의 주요 동인으로 남아 있습니다.

ERC-20 Tokens: A Breeding Ground for Crypto Scams, Despite Intended Fixes

ERC-20 토큰: 의도된 수정에도 불구하고 암호화폐 사기의 온상

Introduction

소개

ERC-20 tokens, the ubiquitous token standard on the Ethereum network, have become a prime target for malicious actors, accounting for a staggering 89.5% of crypto losses due to phishing scams in March alone. This alarming statistic underscores the inherent vulnerabilities within the ERC-20 design, which have been inadvertently exacerbated by updates intended to enhance efficiency.

이더리움 네트워크의 유비쿼터스 토큰 표준인 ERC-20 토큰은 악의적인 행위자의 주요 표적이 되었으며, 3월에만 피싱 사기로 인한 암호화폐 손실의 89.5%를 차지했습니다. 이 놀라운 통계는 효율성 향상을 위한 업데이트로 인해 의도치 않게 악화된 ERC-20 설계 내재된 취약성을 강조합니다.

Historical Context and Design Flaws

역사적 맥락과 설계 결함

Introduced in 2015, ERC-20 tokens have long suffered from gaping security holes. These flaws stem from fundamental design decisions made early on, according to Mikko Ohtamaa, co-founder of Trading Strategy. These design flaws are particularly problematic for Ethereum and Solana, while other chains have implemented fixes.

2015년에 도입된 ERC-20 토큰은 오랫동안 보안 허점으로 인해 어려움을 겪어 왔습니다. Trading Strategy의 공동 창립자인 Mikko Ohtamaa에 따르면 이러한 결함은 초기에 내려진 기본적인 설계 결정에서 비롯됩니다. 이러한 설계 결함은 Ethereum과 Solana에서 특히 문제가 되는 반면, 다른 체인에서는 수정 사항을 구현했습니다.

However, the immutable nature of smart contracts complicates efforts to rectify the shortcomings of ERC-20 tokens, further exacerbating the problem.

그러나 스마트 계약의 불변성 특성으로 인해 ERC-20 토큰의 단점을 해결하려는 노력이 복잡해지고 문제가 더욱 악화됩니다.

Uniswap's Permit2: A Case Study in Unintended Consequences

Uniswap의 허가2: 의도하지 않은 결과에 대한 사례 연구

Uniswap's Permit2, launched in 2022, aimed to enhance transactions by allowing batch token approvals for DApps. This update aimed to reduce gas fees by eliminating the need for separate approvals for each transaction.

2022년에 출시된 Uniswap의 Permit2는 DApp에 대한 일괄 토큰 승인을 허용하여 거래를 향상시키는 것을 목표로 했습니다. 이번 업데이트는 각 거래에 대해 별도의 승인이 필요하지 않도록 하여 가스 요금을 줄이는 것을 목표로 했습니다.

However, as security researcher Roman Rakhlin demonstrated shortly after its release, illicit actors could obtain permit signatures through phishing schemes, facilitating the theft of tokens from unsuspecting victims. Despite his warnings, Uniswap has yet to respond to requests for comment.

그러나 보안 연구원 Roman Rakhlin이 출시 직후 시연한 것처럼 불법 행위자는 피싱 계획을 통해 허가 서명을 얻을 수 있으며 이를 통해 의심하지 않는 피해자로부터 토큰을 훔칠 수 있습니다. 그의 경고에도 불구하고 Uniswap은 아직 논평 요청에 응답하지 않았습니다.

ERC-20 and Cryptocurrency Scams

ERC-20 및 암호화폐 사기

ERC-20 tokens, despite their shortcomings, revolutionized the creation and use of fungible tokens on Ethereum. However, their interactions with smart contracts differ significantly from Ether, the native currency, creating opportunities for malicious actors.

ERC-20 토큰은 단점에도 불구하고 이더리움에서 대체 가능한 토큰의 생성 및 사용에 혁명을 일으켰습니다. 그러나 스마트 계약과의 상호 작용은 기본 통화인 Ether와 크게 다르므로 악의적인 행위자에게 기회를 제공합니다.

For instance, malicious entities can exploit the approval process required for ERC-20 token interactions with smart contracts, tricking users into signing fraudulent messages. Mikhail Vladimirov, an Ethereum developer and auditor, highlights this fundamental flaw in the standard's design.

예를 들어, 악의적인 주체는 ERC-20 토큰과 스마트 계약의 상호 작용에 필요한 승인 프로세스를 악용하여 사용자를 속여 사기 메시지에 서명하도록 할 수 있습니다. Ethereum 개발자이자 감사자인 Mikhail Vladimirov는 표준 설계의 이러한 근본적인 결함을 강조합니다.

Moreover, functions such as increaseAllowance and decreaseAllowance, introduced in 2017 to address theoretical attack vectors, have themselves become avenues for scams. Lev Menshikov, a security researcher at Oxorio, explains that attackers can manipulate the increasedAllowance function to trick users into increasing token allowances, enabling the theft of approved tokens.

또한 이론적 공격 벡터를 해결하기 위해 2017년에 도입된 증가 허용 및 감소 허용과 같은 기능 자체가 사기의 통로가 되었습니다. Oxorio의 보안 연구원인 Lev Menshikov는 공격자가 증가된 허용량 기능을 조작하여 사용자가 토큰 허용량을 늘리도록 속여 승인된 토큰을 도용할 수 있다고 설명합니다.

The Immutable Curse: A Roadblock to Security

불변의 저주: 보안의 장애물

Despite efforts to mitigate the risks associated with the increasedAllowance function, its removal from the ERC-20 contract and relocation to an extension highlight the limitations imposed by the immutability of smart contracts. Existing tokens cannot be modified, leaving them vulnerable to scams.

증가된 허용 기능과 관련된 위험을 완화하려는 노력에도 불구하고 ERC-20 계약에서 해당 기능을 제거하고 확장 기능으로 재배치는 스마트 계약의 불변성으로 인한 한계를 강조합니다. 기존 토큰은 수정할 수 없으므로 사기에 취약합니다.

While upgradable proxies and intermediary contracts offer workarounds, they cannot eliminate the fundamental attack vector posed by the approve function.

업그레이드 가능한 프록시 및 중개 계약은 해결 방법을 제공하지만 승인 기능으로 인한 근본적인 공격 벡터를 제거할 수는 없습니다.

Social Engineering: A Primary Facilitator

사회 공학: 주요 촉진자

Vladimirov argues that the proliferation of scams is primarily attributable to social engineering tactics that exploit human vulnerabilities rather than technological flaws. He emphasizes the need for wallets to adopt simpler, more user-friendly interfaces to reduce susceptibility to scams.

Vladimirov는 사기의 확산은 주로 기술적 결함보다는 인간의 취약성을 이용하는 사회 공학적 전술에 기인한다고 주장합니다. 그는 사기에 대한 취약성을 줄이기 위해 지갑이 더 간단하고 사용자 친화적인 인터페이스를 채택해야 한다고 강조합니다.

Phishing Attacks: A Growing Threat

피싱 공격: 증가하는 위협

Phishing attacks have become increasingly sophisticated, targeting even experienced crypto users like Necksus, a crypto miner and intelligence analyst. Necksus fell victim to a phishing scheme that resulted in a significant loss of funds.

피싱 공격은 암호화폐 채굴자이자 정보 분석가인 Necksus와 같은 숙련된 암호화폐 사용자를 대상으로 점점 더 정교해지고 있습니다. Necksus는 상당한 자금 손실을 초래한 피싱 사기의 피해자가 되었습니다.

Even users who employ additional precautionary measures, such as transaction simulators, are not immune to these attacks. Oxorio's Menshikov warns of emerging trends in phishing, such as attacks targeting ENS domain owners.

거래 시뮬레이터와 같은 추가 예방 조치를 취하는 사용자도 이러한 공격에 면역되지 않습니다. Oxorio의 Menshikov는 ENS 도메인 소유자를 표적으로 삼는 공격과 같은 피싱의 새로운 추세에 대해 경고합니다.

Solutions: The Elusive Panacea

솔루션: 파악하기 어려운 만병통치약

Vladimirov believes that on-chain solutions are inadequate to combat phishing attacks, emphasizing the role of social engineering as a longstanding problem that predates cryptocurrency. He advocates for the development of security tools that can alert users to known attack vectors.

Vladimirov는 온체인 솔루션이 피싱 공격에 대처하는 데 부적절하다고 믿으며 암호화폐 이전의 오랜 문제인 사회 공학의 역할을 강조합니다. 그는 알려진 공격 벡터를 사용자에게 경고할 수 있는 보안 도구 개발을 옹호합니다.

Larry the Cucumber, co-founder of Pickle Finance, recommends using security tools like WalletGuard and Pocket Universe to detect malicious URLs and protect against wallet drainers.

Pickle Finance의 공동 창립자인 Larry the Cucumber는 WalletGuard 및 Pocket Universe와 같은 보안 도구를 사용하여 악성 URL을 탐지하고 지갑 유출로부터 보호할 것을 권장합니다.

Pcaversaccio, an independent security researcher, urges extreme caution, advising users to be suspicious of all communications and to carefully scrutinize every transaction they sign.

독립적인 보안 연구원인 Pcaversaccio는 사용자에게 모든 통신을 의심하고 서명하는 모든 거래를 주의 깊게 조사할 것을 권고하면서 극도의 주의를 촉구합니다.

A Cynical Perspective

냉소적 관점

Ohtamaa offers a somewhat cynical view, suggesting that addressing the issue would be less profitable than offering remedies after the fact. He cites the adage, "It is always more profitable to sell aspirin than to cure the patient."

오타마는 문제를 해결하는 것이 사후에 해결책을 제시하는 것보다 수익성이 낮을 것이라는 다소 냉소적인 견해를 제시합니다. 그는 "환자를 치료하는 것보다 아스피린을 파는 것이 항상 더 이익이 된다"는 속담을 인용합니다.

Conclusion

결론

ERC-20 tokens, despite their ubiquitous presence, remain vulnerable to scams due to inherent design flaws and the immutability of smart contracts. While efforts have been made to address these vulnerabilities, the proliferation of social engineering tactics has made phishing attacks an ever-present threat. The onus falls on the security community to develop tools and educate users to mitigate these risks. Until then, the crypto landscape will continue to be plagued by scams that exploit the weaknesses of the ERC-20 standard.

ERC-20 토큰은 어디에나 존재함에도 불구하고 본질적인 설계 결함과 스마트 계약의 불변성으로 인해 여전히 사기에 취약합니다. 이러한 취약점을 해결하기 위한 노력이 진행되었지만 사회 공학 전술의 확산으로 인해 피싱 공격이 항상 존재하는 위협이 되었습니다. 이러한 위험을 완화하기 위한 도구를 개발하고 사용자를 교육하는 책임은 보안 커뮤니티에 있습니다. 그때까지 암호화폐 업계는 ERC-20 표준의 약점을 악용하는 사기로 인해 계속 어려움을 겪을 것입니다.