ERC-20 토큰: 암호화폐 도난의 온상

ERC-20 토큰은 일반적으로 암호화폐 사기로 도난당하며, 피싱 공격이 손실의 상당 부분을 차지합니다. 트랜잭션을 간소화하도록 설계된 토큰 표준의 승인 메커니즘은 악의적인 행위자가 "허용" 및 "increaseAllowance"와 같은 기능을 악용하여 무의식적으로 도난을 촉진했습니다. 이러한 취약점을 해결하려는 시도에도 불구하고 스마트 계약의 불변성으로 인해 ERC-20의 결함을 수정하기가 어렵습니다. 게다가, 피싱 사기는 이더리움 생태계에서 널리 퍼져 있으며, 숙련된 암호화폐 사용자라도 사회 공학 전술의 희생양이 됩니다. 보안 전문가들은 피싱 위험을 완화하려면 주의와 인식이 필요하다고 강조합니다.

ERC-20 Tokens: A Breeding Ground for Crypto Theft

ERC-20 토큰: 암호화폐 도난의 온상

Within the ever-evolving realm of cryptocurrencies, ERC-20 tokens have emerged as a ubiquitous standard, accounting for a staggering 89.5% of the $71.5 million worth of crypto assets pilfered through phishing scams in March alone, according to the reputable firm Rip-off Sniffer. This alarming statistic highlights a fundamental flaw within the design of ERC-20 tokens, leaving them vulnerable to exploitation.

끊임없이 진화하는 암호화폐 영역 내에서 ERC-20 토큰은 유비쿼터스 표준으로 부상했으며 유명 회사인 Rip-off에 따르면 3월에만 피싱 사기를 통해 훔친 암호화폐 자산 7,150만 달러 상당 중 무려 89.5%를 차지했습니다. 손수건. 이 놀라운 통계는 ERC-20 토큰 설계의 근본적인 결함을 강조하여 악용에 취약하게 만듭니다.

At the heart of the problem lie features such as "allow" and "increaseAllowance," intended to enhance the efficiency of the token standard. However, these very mechanisms have inadvertently introduced new vulnerabilities, creating a breeding ground for sophisticated theft schemes.

문제의 핵심에는 토큰 표준의 효율성을 높이기 위한 "허용" 및 "increaseAllowance"와 같은 기능이 있습니다. 그러나 이러한 메커니즘은 의도치 않게 새로운 취약점을 도입하여 정교한 절도 계획의 온상이 되었습니다.

Origins of the Flaw: An Inherent Design Flaw

결함의 근원: 고유한 설계 결함

First introduced in 2015, ERC-20 tokens possess inherent security loopholes that have allowed malicious actors to exploit unsuspecting victims, often through phishing attacks. Mikko Ohtamaa, co-founder of the algorithmic trading protocol Trading Strategy, attributes these vulnerabilities to poor design choices embedded within Ethereum and, to a lesser extent, Solana.

2015년에 처음 도입된 ERC-20 토큰에는 악의적인 행위자가 피싱 공격을 통해 의심하지 않는 피해자를 악용할 수 있는 고유한 보안 허점이 있습니다. 알고리즘 거래 프로토콜인 Trading Strategy의 공동 창립자인 Mikko Ohtamaa는 이러한 취약점이 Ethereum에 내장된 잘못된 설계 선택과 그 정도는 덜하지만 Solana에 있다고 생각합니다.

"The immutability of smart contracts complicates efforts to rectify ERC-20's flaws," explains Ohtamaa. This characteristic, while crucial for maintaining the integrity of blockchain technology, presents a significant obstacle to patching vulnerabilities in existing contracts.

Ohtamaa는 "스마트 계약의 불변성은 ERC-20의 결함을 수정하려는 노력을 복잡하게 만듭니다."라고 설명합니다. 이러한 특성은 블록체인 기술의 무결성을 유지하는 데 중요하지만 기존 계약의 취약점을 패치하는 데 심각한 장애물이 됩니다.

Phishing Attacks: Leveraging Uniswap's Permit2

피싱 공격: Uniswap의 허가 활용2

Phishing scams have become a primary mode of attack for crypto thieves, with Ethereum serving as a prime target. Uniswap, a prominent decentralized exchange, sought to address the inconvenience of separate approvals for each transaction by introducing Permit2, a smart contract released in 2022.

피싱 사기는 암호화폐 도둑의 주요 공격 모드가 되었으며, 이더리움이 주요 표적이 되었습니다. 대표적인 탈중앙화 거래소 유니스왑(Uniswap)은 2022년 출시된 스마트 컨트랙트인 퍼밋2(Permit2)를 도입해 거래별로 별도 승인을 받아야 하는 불편함을 해결하고자 했다.

Permit2 aimed to streamline the process by allowing users to grant batch token approvals to decentralized applications (DApps), thereby eliminating the need for multiple on-chain approvals and reducing gas fees. However, this seemingly innocuous solution opened up a new avenue for illicit actors to obtain "allow" signatures through phishing schemes, ultimately siphoning tokens from unsuspecting victims.

Permit2는 사용자가 분산형 애플리케이션(DApp)에 일괄 토큰 승인을 부여할 수 있도록 하여 프로세스를 간소화함으로써 여러 온체인 승인이 필요하지 않고 가스 요금을 줄이는 것을 목표로 했습니다. 그러나 겉보기에 무해해 보이는 이 솔루션은 불법 행위자가 피싱 계획을 통해 "허용" 서명을 얻고 궁극적으로 의심하지 않는 피해자로부터 토큰을 빼낼 수 있는 새로운 길을 열었습니다.

Limitations of the "Approve" Mechanism

"승인" 메커니즘의 제한 사항

The core functionalities of the ERC-20 standard, including the "approve" mechanism, have been instrumental in catalyzing the rise of decentralized finance (DeFi). However, this mechanism has also become a target for malicious entities to deceive users into signing fraudulent messages, exploiting the discrepancy between Ethereum's native currency, Ether, and ERC-20 tokens in their interaction with smart contracts.

"승인" 메커니즘을 포함한 ERC-20 표준의 핵심 기능은 탈중앙화 금융(DeFi)의 부상을 촉진하는 데 중요한 역할을 했습니다. 그러나 이 메커니즘은 스마트 계약과의 상호 작용에서 이더리움의 기본 통화인 Ether 및 ERC-20 토큰 간의 불일치를 이용하여 사용자를 속여 사기성 메시지에 서명하도록 악의적인 개체의 표적이 되었습니다.

While sending Ether to a smart contract is straightforward, ERC-20 tokens require explicit approvals when interacting with different smart contracts. This approval process becomes a prime target for malicious actors seeking to trick victims into granting unintended access to their funds.

Ether를 스마트 계약으로 보내는 것은 간단하지만 ERC-20 토큰은 다른 스마트 계약과 상호 작용할 때 명시적인 승인이 필요합니다. 이 승인 프로세스는 피해자를 속여 자금에 대한 의도하지 않은 액세스 권한을 부여하려는 악의적인 행위자의 주요 표적이 됩니다.

The Immutable Curse: A Dilemma for Developers

불변의 저주: 개발자를 위한 딜레마

The immutable nature of smart contracts poses a significant challenge for developers seeking to address the vulnerabilities in ERC-20 tokens. Changes to existing tokens in circulation are virtually impossible, leaving them perpetually susceptible to exploitation.

스마트 계약의 불변성 특성은 ERC-20 토큰의 취약점을 해결하려는 개발자에게 중요한 과제를 안겨줍니다. 유통 중인 기존 토큰을 변경하는 것은 사실상 불가능하므로 영구적으로 악용될 수 있습니다.

However, some projects have attempted to circumvent this limitation by employing upgradable proxies or middleman contracts. These solutions provide a degree of flexibility, allowing developers to modify or eliminate non-core functionalities, such as "increaseAllowance" and "allow." Uniswap's Permit2, for example, extended the "allow" functionality to ERC-20 tokens that lacked it natively.

그러나 일부 프로젝트에서는 업그레이드 가능한 프록시나 중개 계약을 사용하여 이러한 제한을 회피하려고 시도했습니다. 이러한 솔루션은 어느 정도의 유연성을 제공하므로 개발자는 "increaseAllowance" 및 "allow"와 같은 비핵심 기능을 수정하거나 제거할 수 있습니다. 예를 들어 Uniswap의 Permit2는 기본적으로 이 기능이 없는 ERC-20 토큰에 "허용" 기능을 확장했습니다.

The Social Engineering Factor

사회공학적 요인

Despite the technical flaws in ERC-20 token design, social engineering techniques play a significant role in the success of phishing scams. These tactics manipulate human behavior, exploiting psychological vulnerabilities to trick victims into compromising their security.

ERC-20 토큰 설계의 기술적 결함에도 불구하고 사회 공학 기술은 피싱 사기의 성공에 중요한 역할을 합니다. 이러한 전술은 인간의 행동을 조작하여 심리적 취약성을 이용하여 피해자를 속여 보안을 침해하도록 합니다.

Mikhail Vladimirov, an Ethereum developer and smart contract auditor, emphasizes the importance of user education and simplified wallet interfaces to mitigate the risks associated with phishing attacks. He argues that overly technical jargon and complex codes often confuse users, making them more susceptible to scams.

Ethereum 개발자이자 스마트 계약 감사자인 Mikhail Vladimirov는 피싱 공격과 관련된 위험을 완화하기 위해 사용자 교육과 단순화된 지갑 인터페이스의 중요성을 강조합니다. 그는 지나치게 기술적인 전문 용어와 복잡한 코드가 종종 사용자를 혼란스럽게 만들어 사기에 더 취약하게 만든다고 주장합니다.

Are Phishing Scams a Priority?

피싱 사기가 우선순위인가요?

The security community has been criticized for not prioritizing phishing scams, primarily attributed to their impact on less experienced users or flaws in front-end interfaces. Some researchers dismiss them as a "silly user problem" or a responsibility of wallet and front-end developers.

보안 커뮤니티는 주로 경험이 부족한 사용자에게 미치는 영향이나 프런트엔드 인터페이스의 결함으로 인해 피싱 사기를 우선시하지 않는다는 비판을 받아왔습니다. 일부 연구자들은 이를 "어리석은 사용자 문제" 또는 지갑 및 프런트엔드 개발자의 책임으로 일축합니다.

However, the prevalence of phishing attacks has expanded beyond novice users, and even experienced crypto enthusiasts have fallen victim to sophisticated social engineering schemes. Necksus, a crypto miner and collaborator with the forensics platform Intelligence On Chain, lost approximately $20,000 to a phishing scam after being deceived by a compromised NFT artist's account.

그러나 피싱 공격의 확산은 초보 사용자 이상으로 확대되었으며, 숙련된 암호화폐 애호가들조차 정교한 사회 공학 계획의 희생양이 되었습니다. 암호화폐 채굴자이자 포렌식 플랫폼 Intelligence On Chain의 협력자인 Necksus는 손상된 NFT 아티스트 계정에 속아 피싱 사기로 약 20,000달러를 잃었습니다.

Emerging Trends in Phishing Attacks

피싱 공격의 새로운 추세

Phishing scams are constantly evolving, with attackers employing increasingly creative techniques. Lev Menshikov of Oxorio, an auditing agency, highlights the rising popularity of attacks targeting ENS (Ethereum Name Service) domain owners. In this scheme, attackers send fraudulent email alerts to ENS domain owners, luring them to a bogus renewal website where their funds are extorted.

피싱 사기는 끊임없이 진화하고 있으며 공격자는 점점 더 창의적인 기술을 사용하고 있습니다. 감사 기관인 Oxorio의 Lev Menshikov는 ENS(Ethereum Name Service) 도메인 소유자를 표적으로 삼는 공격의 인기가 높아지고 있음을 강조합니다. 이 계획에서 공격자는 ENS 도메인 소유자에게 사기 이메일 경고를 보내 자금을 갈취하는 가짜 갱신 웹 사이트로 유인합니다.

Mitigating Risks and Protecting Assets

위험 완화 및 자산 보호

While the immutability of smart contracts and the vast array of tokens make it challenging to prevent attacks on a purely on-chain level, a combination of security tools and user vigilance can significantly reduce the risk of falling victim to phishing scams.

스마트 계약의 불변성과 광범위한 토큰으로 인해 순전히 온체인 수준에서 공격을 예방하는 것이 어렵지만, 보안 도구와 사용자 경계를 결합하면 피싱 사기의 피해자가 될 위험을 크게 줄일 수 있습니다.

WalletGuard and Pocket Universe are examples of security tools that allow users to scan URLs for potential risks and identify potential wallet drainers. By exercising caution and maintaining a heightened awareness of phishing attempts, crypto users can protect their digital assets from malicious actors.

WalletGuard와 Pocket Universe는 사용자가 URL에서 잠재적인 위험을 검색하고 잠재적인 지갑 낭비 요소를 식별할 수 있는 보안 도구의 예입니다. 암호화폐 사용자는 주의를 기울이고 피싱 시도에 대한 인식을 강화함으로써 악의적인 행위자로부터 디지털 자산을 보호할 수 있습니다.

A Cynical View: Profiting from Unresolved Issues

냉소적인 관점: 해결되지 않은 문제로부터 이익 얻기

Some experts, like Ohtamaa, believe that there is a lack of incentive to resolve the phishing problem in the cryptocurrency industry. "It's always more profitable to sell aspirin than to cure the patient," he says, implying that the financial rewards of exploiting vulnerabilities outweigh the efforts required to fix them.

Ohtamaa와 같은 일부 전문가는 암호화폐 업계에서 피싱 문제를 해결할 인센티브가 부족하다고 믿습니다. "환자를 치료하는 것보다 아스피린을 판매하는 것이 항상 더 수익성이 높습니다."라고 그는 취약점을 악용하여 얻는 금전적 보상이 문제를 해결하는 데 필요한 노력보다 크다는 것을 암시합니다.

As the cryptocurrency ecosystem continues to evolve, it remains essential for developers, security researchers, and users to work together to address the ongoing threat of phishing scams. By understanding the vulnerabilities inherent in ERC-20 tokens and adopting proactive measures, crypto users can safeguard their digital assets and contribute to a more secure future for the crypto community.

암호화폐 생태계가 계속 발전함에 따라 개발자, 보안 연구원 및 사용자가 함께 협력하여 지속적인 피싱 사기 위협을 해결하는 것이 필수적입니다. ERC-20 토큰에 내재된 취약성을 이해하고 사전 조치를 취함으로써 암호화폐 사용자는 디지털 자산을 보호하고 암호화폐 커뮤니티의 보다 안전한 미래에 기여할 수 있습니다.