NFT 피싱사기 예방하기

NFT 피싱사기 예방하기

 

대부분의 NFT 프로젝들은 트위터, 디스코드 채널을 운영하여 유저들과 소통하고 있습니다.

NFT는 하나의 자산이고 이 자산이 탈중화 지갑으로 관리되고 있습니다.

이 자산을 노리고 훔치려는 사기꾼들도 많습니다.

 

지갑 사용이나 Dapp 생태계에 익숙한 분들은 많은 경험을 통해 어느정도 사기에 방비가 되어 있지만, 

지갑과 NFT를 관리하는데 익숙하지 않은 유저들은 사기꾼들의 눈속임에 피해를 보는 안타까운 경우가 많습니다.

이번 글에서는 대표적인 NFT 사기 유형에 대해 알아보고 예방하는 방법에 대해 알아보겠습니다.

 

사기 유형을 알아보기 전에 일단 아래 3가지를 명심하는 것이 좋습니다.

 

첫번째. 절대 시드구문과 개인키를 남에게 알리지 않습니다.

탈중앙화 지갑의 시드구문과 개인키는 은행 계좌의 비밀번호와 보안코드에 비유할 수 있을만큼 보안상 중요한 데이터입니다.

이 데이터를 타인에게 공유하는 것은 이 지갑의 소유권을 넘기는 것과 마찬가지입니다. 

시드문구, 개인키가 노출될 경우 이 지갑에 접근한 타인은 지갑에 있는 모든 코인, 토큰, NFT를 마음대로 가져갈 수 있습니다.

 

두번째. 절대 수상한 링크에 접속하여 지갑을 연결하지 않습니다.

일부 NFT 프로젝트는 WEB3 방식의 지갑연결을 요구하는 사이트를 운영하고 있습니다. 디스코드 DM(개인메시지), 비공식 계정을 통한 트위터를 통해 접속해서 지갑을 연결하여 거래를 승인할 경우 자신이 갖고 있는 디지털 자산을 모두 도난당할 수 있습니다.

내가 접속하는 사이트가 공식 사이트, 공식 트위터 계정을 통한 공식 사이트가 맞는지 반드시 확인해야 합니다.

 

세번째. 지갑을 여러개로 나누어서 관리합니다.

메타마스크, 팬텀, 카이카스 등의 지갑에서는 여러개의 지갑을 추가하여 관리할 수 있습니다. 이렇게 지갑을 여러개 추가하여 암호화폐 자산을 관리하는 지갑, NFT를 관리하는 지갑, 에어드랍을 받기 위한 지갑 등으로 나누어서 관리하는 것이 좋습니다. 에어드랍용 지갑의 경우에는 많은 사이트에 접속하기 때문에 이 중 보안상 취약한 사이트에 노출될 위험이 있습니다. 되도록이면 신뢰성 있는 프로젝트에만 지갑을 사용하되 더이상 접속하지 않을 것 같은 사이트는 연결을 해제하여 위험을 최소화 하는 것이 좋습니다.

 

유형1. 디스코드 DM 사기

 

디스코드 DM을 이용한 피싱은 가장 일반적인 피싱 방법입니다.

디스코드에서는 프로필사진과 아이디를 마음대로 변경할 수 있습니다. 이것을 악용해 사기꾼은 공식 관리자와 동일한 프로필 이미지, 닉네임으로 변경해 유저들에게 위와 같은 내용으로 DM(개인 메시지)를 보냅니다.

 

위 사기 메시지 내용은 현재 NFT 시세 보다 저렴하게 민팅(뽑기)를 하게 해준다며 사기꾼이 만들어낸 사이트에 접속을 유도하는 메시지입니다. 위와 같이 사기꾼이 만들어낸 허위 링크로 접속하여 지갑을 연결하고 민팅을 하면 피해자는 사기꾼이 만들어낸 스마트컨트랙트(계약)에 승인하게 되고 갖고 있던 암호화폐와 NFT를 도난당하게 됩니다. 마치 눈가리고 사기꾼이 만들어낸 계약서에 싸인과 도장을 찍게 되는 것과 마찬가지입니다. 이렇게 도난 당한 자산은 되돌려 받는 경우가 매우 희박합니다.

 

또 다른 사기 방법은 도움을 주는 척하고 허위 링크로 유도하거나, 개인키, 시드구문(니모닉)을 요구하는 경우입니다. 예를 들어 한 프로젝트에서 유저가 NFT를 잃어버렸다거나 지연으로 인해서 받지 못하는 등의 어려움이 생겼다고 채팅을 디스코드에 입력했는데 한 사기꾼이 관리자를 사칭하여 도움을 주겠다고 피해를 호소하는 유저에게 DM(개인 메시지)을 보내  우선 문제해결을 위해 개인키, 시드구문이 필요하다며 자신에게 넘기라고 하는 경우가 일반적입니다. 이렇게 사기꾼을 관리자로 믿고 개인키나 시드구문을 넘기게 되면 지갑의 자산이 도둑맞게 됩니다. 혹여나 정식 관리자여도 절대로 개인키나 시드구문을 유저에게 요청하지 않습니다. 개인키와 시드구문은 지갑 소유권을 증명하는 데이터이며 이를 관리자가 요구할 이유가 전혀 없기 때문입니다.

 

이러한 사기를 막기 위해서 절대 수상한 링크로 접속하지 않는 것이 좋으며 아예 디스코드를 이용하면서 받는 DM들은 무시하는 것이 좋습니다. 이러한 피해가 많아지자 거의 모든 프로젝트에서 "관리자는 절대 유저에게 DM을 보내지 않는다"라는 암묵적인 룰이 생겼습니다.

디스코드를 이용하면서 DM을 받는다면 일단 의심부터 하는 것이 좋습니다.

 

 

> 예방법1: 디스코드 DM 차단하기

디스코드 > 설정 > 개인정보 보호 및 보안 > 서버 멤버가 보내는 다이렉트 메시지 허용하기 > 끄기

 

위와 같이 아예 디스코드 서버에서 보내는 DM을 모두 차단하는 것도 하나의 방법이 될 수 있습니다.

 

 

 

스팸 NFT를 이용한 피싱

 

지갑주소에 스팸 NFT를 보내 피싱 사이트로 접속시켜 피싱하는 사기 유형입니다. 

마치 이메일주소만 있으면 메일을 보낼 수 있듯이, 지갑주소만 알고 있으면 수신자의 동의 없이 누구나 NFT를 보낼 수 있습니다.

 

이 유형의 피싱은 이를 악용한 방법으로 사기꾼이 피싱 사이트를 소개하는 스팸NFT를 만들고 불특정 다수에게 보낸 것 입니다.

NFT에는 이미지와 설명(description)을 넣을 수 있는데 이 사기꾼들은 이 설명 데이터에 스캠 메시지를 넣어 보내 피싱 사기를 칩니다.

 

위 이미지의 NFT에 포함된 내용은 "미스테리 박스(일종의 랜덤박스)당첨을 축하한다. 100만명이 당첨 됐는데, 내가 안내해주는 사이트에 접속하면 선착순 1000명에 한해서 이 NFT 미스테리 박스와 NFT를 교환하여 지급한다"라는 내용입니다.

 

대개의 피해자는 자신의 지갑에서 새로운 NFT를 확인하고 선착순으로 무료 NFT를 받을 수 있다는 기대감에 링크의 진위성을 확인하지 않고 피싱 사이트에 접속하여 스마트컨트랙트에 서명하게 됩니다.

 

디스코드 DM사기 유형과 마찬가지로 위 피싱 사이트에 지갑을 연결하고 NFT를 받는 스마트컨트랙트에 서명하게 되면 지갑에 있는 자산이 모두 사기꾼에게 가버리게 됩니다.

 

마무리

NFT가 많은 사람들에게 알려지기 이전에도 디파이나 P2E 프로젝트를 사칭하여 피싱사이트로 유도하여 코인을 훔쳐가는 경우가 상당히 많았습니다. 최근에 NFT에 관심이 급증하면서 지속적으로 신규 지갑 사용자가 늘어나고 이를 악용하여 비슷하지만 다양한 방법으로 피싱을 통해 손쉽게 디지털 자산을 갈취하려는 사기꾼 또한 증가하고 있습니다.

 

안타깝게도 이러한 피해사례가 잊을만하면 여러 커뮤니티에서 올라오고 있습니다. 다양한 사기 수법이 나타나고 있지만 개인키, 니모닉 관리를 절대 알려주지 말고 수상한 링크에는 클릭도 하지 않는 것이 가장 중요한 예방법입니다. 아무쪼록 이 글이 또 다른 피싱 사기를 예방하는 글이 되었으면 좋겠습니다.

 

 

---

 

비트세이빙에서는 "좋은 자산을 장기투자 한다”는 투자 철학을 가지고 함께 정보를 교류하는

세이빙스쿨 카카오 단체 방을 운영하고 있습니다. 많은 참여와 관심 부탁드립니다. 😍

 

▼ 비트세이빙 세이빙스쿨 단톡방 링크

https://open.kakao.com/o/gTGuwGMd

비트세이빙 세이빙스쿨

 

*위 정보는 디지털 자산에 대한 이해를 돕기 위해서 제공하는 것으로, 투자 권유를 목적으로 하지 않습니다.