얼마 전 연구자들은 한 이더리움 주소에서 이상한 거래를 발견했습니다. 일부 stETH 토큰이 그 주소로 보내졌고 — 거의 즉시 피싱 주소로 전달되었습니다. 사실 그 주소는 너무 잘 알려져 있어서 Etherscan과 여러 암호화폐 지갑이 자동으로 악성으로 표시합니다.
흥미로운 점은 송금인의 주소와 관련된 이전 거래가 일 년 반 전의 것이었다는 점입니다 — 그때도 토큰은 현재 사기 관련으로 표시된 지갑들로 들어갔습니다.
지갑 소유자가 정말로 500일 간격으로 같은 함정에 두 번 빠졌을까요? 믿기 어렵습니다!
가장 그럴듯한 이야기는 다음과 같습니다:
- 어느 시점에 지갑 소유자가 의심스러운 웹사이트에 지갑을 연결했습니다.
- 그 뒤에 있던 사기꾼들은 자금을 옮길 수 있도록 스마트 컨트랙트 권한을 획득했습니다.
- 일 년 반 후, 손실에서 회복한 사용자가 해당 지갑에 다시 자금을 보충했습니다.
- 하지만 그 오래된 권한은 여전히 활성화되어 있었고 — 새 자금이 도착하는 순간 악성 컨트랙트가 즉시 자금을 탈취했습니다.
저는 여러 번 말해왔습니다: 당신의 암호화폐 지갑은 형편없는 로그인 도구입니다. 지갑 기반 로그인 중에 우리가 실제로 서명하는 내용을 몇이나 읽습니까? 거의 없습니다.
그리고 로그인용으로 빈 지갑만 사용하더라도, 이 사례는 악성 컨트랙트가 사용자가 지갑을 다시 채울 때까지 몇 달 또는 몇 년 동안 참을성 있게 기다릴 수 있다는 것을 증명합니다 — 그리고 그때 모든 것을 즉시 훔칩니다.
웹사이트에 지갑을 연결할 때는 주의하세요.
그리고 기억하세요: rabbit.io에서 암호화폐를 교환하려면, 지갑을 전혀 연결할 필요가 없습니다. 단순히 주소를 받고 수동으로 암호화폐를 전송하면 됩니다 — 그것이 당신이 정확히 어떤 거래를 승인하는지 확실히 아는 가장 쉬운 방법입니다.
