지난 시간엔 사용자 편의를 위한 웹3 서비스에 대해 알아보았어. 이번 시간엔 어쩌면 우리에게 가장 중요한 자산’을 지키는 법에 대해서 알아볼거야. 이를 위해선 ‘수탁, 비수탁’이라는 개념을 이해해야해. 그럼 시작해볼까?

수탁과 비수탁의 이해

이미지 출처 : 루디움 웹3 베이직 참고자료

지금까지 우리는 금융활동을 제3자(기관)가 ‘대신’ 해주었어. 우리 대신 친구 계좌로 돈을 송금한다던지, 우리 대신 주식 매수해서 증권사 계좌에 입금하는 것외에도 더 많은 금융활동이 포함돼. 우리 대신 금융활동을 해주지만, 우리 자산의 통제권을 넘기는 것을 의미하기도 해. 이것을 ‘수탁’이라고 하지. ‘비수탁’은 자산의 통제권이 아닌 접근권을 허용하는 것을 의미해. 통제권은 제 3자가 아닌 ‘내’가 갖고 있어. 모든 서비스가 비수탁인 필요는 없어. 왜냐하면 수탁, 비수탁 서비스 각기 장단점이 있기 때문이야. 다만 수탁서비스에서 내 자산이 100% 안전하다는 생각은 지양하는게 좋아. 웹3 이용자들 사이엔 “not your keys, not your coins” 라는 말도 있으니까.

비수탁 지갑의 시드 구문, 프라이빗 키 관리

이미지 출처 : https://metamask.io/

다른 기기에서 내 지갑에 로그인을 하고 싶을 때, 시드 구문을 분실하면 로그인이 불가능해. 지갑의 시드 구문이나 프라이빗 키가 유출이 된다면 타인이 내 지갑의 모든 통제권을 가질 수 있어. 시드 구문 혹은 프라이빗 키는 블록체인 상에 있는 자산의 소유권을 증명하는 수단이기 때문이야. 해킹이 일어나서 시드 구문과 프라이빗 키가 유출되는 사례가 간혹 있었어. 여기서 말하는 해킹은 블록체인 자체가 아니라, 시드 구문 혹은 프라이빗 키에 대한 정보가 담겨있는 클라우드 파일, sns 계정의 해킹을 의미해.

그래서 시드 구문과 프라이빗 키는 꼭 나만 알 수 있는 곳에 보관해야해. 아이러니하게도 디지털 자산 소유권을 증빙하기 위해선 아날로그 방식을 이용해야 한다는 점이 재밌는 부분이야.

비수탁 지갑과 서명 유도 후 탈취 사례

우리가 디앱 서비스를 이용하면서 알게 모르게 탈취를 당하는 사례가 몇 가지 있어. 토큰 승인과 서명인데, 각각 알아보도록 하자.

토큰 승인

특정 디앱 서비스를 이용할 때 디앱이 내가 소유한 자산에 액세스 할 수 있도록 디앱에 권한을 부여하는 것이야. 이 과정을 아는 해커들은 디앱 사이트에서 요청하는 것처럼 위장해서 이 토큰 승인을 하라는 메시지를 보내. 이 과정에서 서명같은 승인 작업을 하면 사용자의 특정 자산에 대한 소유권을 얻어서 자산을 탈취한다고 해.

이걸 예방하기 위해선 구글링, 네이버 등 포털 사이트 검색을 통해 디앱 링크에 접속하는 방식을 지양해야해. 디앱 접속 시 항상 공식 디앱 사이트가 맞는지 확인하고, 자주 이용하는 디앱의 경우 북마크를 해놓는 것을 추천해. 코인게코(CoinGecko) 같은 어그리게이터에 명시되어 있는 디앱 링크를 이용하는 것도 한 방법이 될 수 있고, 도메인 검색창에 링크를 직접 타이핑하는 방법도 있어. 알게 모르게 당할 수 있으니 조심하는 게 좋겠지?

이미지 출처 : https://www.coingecko.com/

만약에 공식 어플리케이션이 아닌 스캠 어플리케이션에 내 지갑을 연결하고 토큰 승인을 했으면 즉시 지갑 연결을 끊고 권한 부여를 해제(Revoke)해야해. 그 후 안전하다고 판단되는 지갑으로 자산을 옮겨야해.

스캠 어플리케이션이 의심이 된다면 Revoke 사이트 같은 웹 서비스를 이용하는 방법도 있어. 디앱을 이용하면서 토큰 승인을 완료했지만 권한 정보와 컨트랙트 정보가 부족할 때 사용하는 서비스야. 만약 스캠이 확인되었거나 권한 부여가 이미 완료된 경우, 권한 부여 해제도 할 수 있어. 하지만 해당 사이트에 의존하기 보다 공식 링크를 직접 확인하는 습관을 들이는 걸 추천해.

악의적인 트랜잭션에 서명하는 경우

스캠사이트의 대표적인 수법 중 하나야. 오픈씨(Opensea) 같은 디앱에서 거래할 때, 늘상 거래했던 NFT 전송 트랜잭션인 척 위장해서 트랜잭션 페이지를 만들어서 이용자가 서명을 하게 만들어. 실제 트랜잭션 내용은 스캐머에게 이용자의 자산을 전송한다는 내용이지. 그래서 항상 서명 전에 다시 한번 확인해보는 습관을 갖는게 필요해.

이미지 출처 : RTFKT official Twitter

최근엔 NFT를 민팅하거나 클레임할 때 트랜잭션에 서명하는 경우, 에어드랍으로 유도한 후 지갑으로 연결해서 거래 승인 서명을 유도하는 경우가 많다고 해. 그래서 서명하기 전에 수상한 느낌이 들 경우엔 sns에 사전 검색을 해보는 것을 추천해. 공식 계정에서 공지하는 경우도 많으니까. 꼭 확인하는 것이 좋아!

OUTRO

지금까지 3편에 걸쳐서 디앱과 체인 생태계에 대해서 다루어 봤어. 각자가 관심있는 분야의 디앱과 체인 생태계를 면밀히 살펴보고 DYOR 하는 것이 필요해. 그리고 디앱을 사용할 때 스캠사이트 여부 확인, 트랜잭션 정상인지 확인하는 습관! 잊지 않기!

출처: 루디움(https://ludium.world),
디애셋 프로(https://contents.premium.naver.com/digitalasset/digitalassetpro)
Editor: Blynn(@0xBlynn)

전통금융과 크립토 이슈에 관심이 있어 이에 기여하고 싶은 사람.

📍더 알아보기 : https://t.me/coiniseasy

📍코인이지 앱 : 

IOS- https://apps.apple.com/us/app/coineasy/id6463145391

Andoid - https://play.google.com/store/apps/details?id=com.coineasy.coineasy