아이스 피싱: 지갑을 털어가는 '로그인' 버튼

요약: 아이스 피싱은 비밀번호를 훔치지 않습니다; 당신의 권한을 훔칩니다. 해커들은 당신을 속여 악성 토큰 승인(Token Approval)에 서명하게 함으로써 원할 때 자산을 빼낼 수 있습니다. 이 글은 'Approve' 기능과 Revoke.cash 사용법을 설명합니다.

---

1. 개념: Approve 대 Transfer

이더리움/EVM에서 스마트 컨트랙트(예: Uniswap)는 당신이 허락하지 않는 한 토큰을 건드릴 수 없습니다.

두 가지 상호작용 방식이 있습니다:

1. Transfer (전송): "Bob에게 10 USDT를 보내라." (일회성).
2. Approve (승인): "Uniswap이 내 지갑에서 최대 1,000 USDT를 쓰도록 허락한다." (지속적 허가).

허점: 대부분의 dApp은 편의를 위해 "무제한 승인"을 요청하므로 모든 거래마다 서명할 필요가 없습니다. 사기꾼들은 이를 악용합니다.

2. 공격: "보안 업데이트"

이메일을 받거나 Twitter에서 링크를 봅니다: "OpenSea 보안 업데이트: 자산 손실을 방지하려면 지갑을 확인하세요."

링크를 클릭합니다. OpenSea와 똑같이 생겼습니다.

"Verify" (확인)를 누릅니다.

지갑에 트랜잭션 요청이 뜹니다.

• "Send ETH"라고 적혀 있지 않습니다.
• "SetApprovalForAll" 또는 **"Approve WETH"**라고 적혀 있습니다.
• 사용자 주소(Spender Address)는 해커의 컨트랙트입니다.

함정: 당신은 "로그인"하거나 "인증"한다고 생각합니다. 실제로는 이런 법적 문서에 서명한 셈입니다: "나는 이 해커가 원할 때마다 내 모든 NFT와 WETH를 옮기는 것을 허락합니다."

그들은 즉시 훔치지 않습니다. 당신이 더 입금할 때까지 기다렸다가 한 번에 털어갑니다.

3. 트랜잭션 읽는 법

"확인"을 누르기 전에 Data (데이터) 탭이나 트랜잭션 시뮬레이션을 확인하세요.

위험 신호 🚩

1. 기능: SetApprovalForAll (이것은 NFT 컬렉션에 대한 100% 제어권을 줍니다).
2. 기능: Approve (1.1579e+59와 같은 거대한 숫자와 함께).
3. Spender (사용자): 알 수 없는 컨트랙트 주소 (Etherscan에서 확인하세요 - 검증되었나요? "Uniswap Router"라고 되어 있나요?).

4. 치료법: Revoke.cash

잘못된 승인에 서명했다고 의심된다면:

1. Revoke.cash로 가세요.
2. 지갑을 연결하세요 (먼저 읽기 전용 모드로).
3. 알 수 없는 컨트랙트에 대한 "무제한 권한" (Unlimited Allowances)을 스캔하세요.
4. 즉시 **철회(Revoke)**하세요. 가스비가 조금 들지만 해커와의 연결을 끊습니다.

더 알아보기: 이러한 "뒷문"을 닫는 방법에 대해 더 깊이 알아보려면 숨겨진 백도어 가이드를 읽어보세요. 또한 자발적으로 자금을 보내게 만드는 주소 중독도 조심하세요.

결론

시드 구문은 금고의 열쇠입니다. "승인"은 위임된 서명자입니다. 낯선 사람에게 은행 계좌 위임장을 주지 않듯이, 무작위 사이트에 SetApprovalForAll을 주지 마세요.