이 기사는 DilationEffect와 Wushuo Blockchain이 공동으로 게시한 것입니다.

거래소 내 구체적인 보안 투자를 알기 어렵기 때문에 거래소의 보안 보호 수준을 분석하는 것은 쉽지 않습니다. 초기 단계에서 Dilation Effect는 스마트 계약 인증의 고유한 차원을 선택하여 업계 최고의 거래소 및 기관의 주요 지갑 주소를 분석하고 발견된 문제점을 적시에 공개했습니다. 이번에는 특정 사용자의 금융 보안에 직접적인 영향을 미치기 때문에 공격자와 사용자의 관점에서 이러한 주류 거래소의 계정 보안 메커니즘을 분석하려고 합니다.

1. 주류거래소의 계좌비밀번호 유출

공개 데이터 유출 집계 검색 사이트(데이터 소스에는 다크웹, 파일 공유 플랫폼, 과거 유출된 계정 데이터 세트 등이 포함됨)를 통해 주요 거래소의 관련 도메인 이름을 필터링해 보세요. 공격자도 똑같이 할 것임을 알아야 합니다. .

먼저 Binance.com을 검색해보니 8,000개 이상의 계정 및 비밀번호에 대한 일반 텍스트 데이터가 반환된 것을 발견했습니다! 예시로 일부 발췌문을 발췌했습니다.

이 데이터 중 일부를 무작위로 선택하여 로그인을 시도한 결과 많은 계정과 비밀번호가 완전히 정확하다는 것을 발견했습니다. 로그인을 시도한 후 mar***@gmail과 같은 다음 2차 인증 단계로 직접 들어갈 수 있습니다. com 계정:

이때, 사용자의 이메일 계정 및 비밀번호가 거래소 로그인 이메일 계정/비밀번호와 동일할 경우, 공격자는 2차 확인 이메일 인증코드를 직접 획득하여 사용자의 바이낸스 계정에 로그인할 수 있다. 정말 폭발적이지 않나요? 물론, 우리의 확인 시도는 여기에서 종료되며 후속 조치는 취하지 않는다는 점을 강조할 가치가 있습니다.

Dilation Effect는 10개 이상의 주요 거래소의 계정 비밀번호 유출에 대한 예비 통계를 보유하고 있으며 각 거래소에는 수천 건의 유출 기록이 있습니다. 구체적인 수량 수준은 아래 표에 나와 있습니다.

좀 충격적이네요.

좀 충격적이네요.

Dilation Effect에서는 시간적 제약으로 인해 해당 계정 비밀번호의 정확성을 일일이 확인하지는 못했으나, 무작위로 데이터를 선정하여 각 거래소에서 유출된 계정 비밀번호에 정확한 계정과 비밀번호가 포함되어 있음을 확인하였습니다. 평균적으로 정확한 비율은 10%~20% 정도입니다.

거래소는 추가적인 2FA 메커니즘을 제공하기 때문에 계정과 비밀번호가 유출되더라도 사용자 자금 손실로 직접 이어지지는 않습니다. 그러나 사용자가 완전한 설정을 하지 않으면 여전히 자금 도난의 위험이 있습니다.예를 들어 사용자가 인증을 위해 이메일 인증 코드만 활성화하거나 사용자의 다른 인증 요소가 공격을 받습니다.

다음으로, 현재 주류인 2FA 2차 검증 메커니즘의 보안 강도를 계속해서 분석해 보겠습니다.

2. 일반적인 2단계 인증 메커니즘의 보안 비교

첫째, 다양한 2차 검증 요소의 보안 수준에 대한 비교 결론이 제공됩니다.

Dilation Effect는 일반 사용자의 이메일은 상대적으로 보안이 취약한 제품이며, 이메일 인증코드는 안정적인 보안 인증 요소가 아니라고 생각합니다. 현재까지 사용자가 이메일 인증코드만 2FA로 설정하면 이 계정의 보안은 0이라고 볼 수 있다. 역사적으로 주요 인터넷 서비스 제공업체가 공격을 받아 다수의 사용자 이름과 비밀번호가 유출된 적이 있다는 점을 인식해야 하며, 동시에 이메일 서비스 제공업체에도 잠재적인 알려지지 않은 취약점이 있어 대규모 피해를 초래했다는 점을 인식해야 합니다. 안전하지 않은 상태에 있는 사용자의 이메일 주소 수. 종합해보면, 이메일 인증 코드의 보안 수준은 매우 낮습니다.

SMS 인증 코드도 다양한 공격 시나리오에 직면합니다. 예를 들어, 표적 공격 시나리오에서 의사 기지국 공격의 대상이 되는 고가치 사용자가 있는 경우 공격자는 사용자 근처에 의사 기지국을 배치하여 문자 메시지를 탈취할 수 있습니다. 또 다른 예는 Lapsus$ 해커 그룹이 구현하기를 좋아하는 SIM 교환 공격입니다. 간단히 말해 SIM 스와핑 공격에는 사회 공학을 통해 사용자를 가장하여 SIM 카드를 공격자의 이름으로 전송하는 공격이 포함됩니다. 특히 eSIM의 등장으로 공격자는 온라인으로 신청과 활성화를 완료할 수 있어 공격이 더 쉬워진다. 트위터 창립자 잭 도시(Jack Dorsey)의 트위터 계정이 이런 식으로 공격받은 적이 있습니다. 또 다른 문제는 운영자의 법적 모니터링 문제인데, 이 시나리오에 대해서는 자세히 설명하지 않겠습니다. 모두가 이해하고 있습니다. 따라서 SMS 인증코드의 보안 수준도 상대적으로 낮습니다.

TOTP와 보안 키는 훨씬 적은 위협에 직면하게 됩니다. Dilation Effect는 대부분의 사용자에게 최소한 Google Authenticator를 기본 보안 설정으로 활성화해야 하며, 보안 요구 사항이 더 높은 사용자는 물리적 Ukey를 설정할 것을 권장합니다. 이메일 인증코드나 SMS 인증코드만 설정해 놓으면 계정이 공격받는 것도 시간문제다.

또한, 일부 거래소에서는 이제 사용자가 기존 비밀번호를 대체할 수 있는 강력한 보안 메커니즘인 패스 키를 지원하기 시작했습니다. 사용자는 점차 사용법에 익숙해지는 것이 좋습니다.

3. 교환에 대한 제안

거래소는 즉시 긴급 대응 프로세스를 시작하고, 사용자 계정 비밀번호 유출을 조사하고, 영향을 받은 사용자에게 비밀번호를 변경하고 계정 보안 설정을 개선하도록 안내해야 합니다. 동시에, 사용자 계정 비밀번호의 유출을 매일 적극적으로 모니터링할 필요가 있습니다. 자신의 사용자 비밀번호 유출 자료를 찾는 방법을 모르신다면 Dilation Effect(dilation [email protected])로 문의해 주세요.

우리는 거래소가 기본적으로 보안 설계 아이디어를 채택하고 사용자 계정 보안에 대해 더 많이 고려하여 사용자가 보안 설정을 완료한 후 계정이 상대적으로 안전한 상태에 있을 수 있도록 권장합니다. 참고할 수 있는 몇 가지 디자인 원칙은 사용자가 보안 벤치마크를 충족하기 위해 Google OTP 바인딩을 완료해야 한다는 것이며, 그런 다음 사용자가 등록할 때 최대한 설정을 완료하도록 안내하려고 노력합니다. 설정이 완료된 후 사용자는 화폐 인출을 포함한 다양한 작업을 수행할 수 있습니다.

4. 일반 사용자를 위한 제안

4. 일반 사용자를 위한 제안

네트워크 보안을 존중하십시오. 공격자는 부지런하지만 대다수의 사용자는 네트워크 보안에 대한 이해가 상대적으로 부족합니다. 며칠 전 부테린 트위터 계정까지 포함해서 해킹당한 거 아닌가요? 일시적으로 코인을 출금하고 싶다고 해서 계정 보안 설정을 무시할 수는 없으며, 공격을 받고 후회하는 경우가 많습니다. 따라서 최소한 Google OTP를 귀하의 계정에 연결하십시오.

사용자가 정기적으로 이메일 비밀번호 유출을 확인할 수 있는 보물 웹사이트도 있습니다. 즐겨찾기에 추가할 가치가 있습니다.

https://haveibeenpwned.com

팽창 효과 정보

DilationEffect는 전 세계의 실무 네트워크 보안 전문가로 구성된 새로 설립된 Web3 보안 커뮤니티로, 객관적이고 중립적인 Web3 보안 관점을 공유하는 데 중점을 두고 있습니다.

DilationEffect는 계속해서 다양한 Web3 보안 의견을 발표하고 업계 Web3 제품 및 프로토콜의 보안에 대해 논평하며 일반 사용자에게 시기적절하고 효과적인 보안 알림을 발행할 것입니다.