[디파이 13일차] 클릭 한 번에 전 재산 증발? 해킹과 스캠 피하는 법

1. 들어가며: 디파이에는 고객센터가 없다

은행 앱에서 실수로 돈을 잘못 보냈다면 은행에 전화해서 '착오 송금 반환'을 신청할 수 있습니다. 카드가 도용당하면 정지시키면 됩니다.

하지만 디파이에서는 해킹을 당해도, 사기를 당해도 도와줄 곳이 단 한 군데도 없습니다. 오직 내가 스스로 방어해야 합니다. 오늘은 가장 흔하지만 치명적인 사기 유형 2가지를 알아보고 방어책을 세우겠습니다.

2. 유형 1: 피싱 사이트 (가짜 사이트)

가장 고전적이지만 가장 많이 당하는 수법입니다.

• 수법: 구글에 'Uniswap'이나 'Metamask'를 검색했을 때, 맨 위에 뜨는 '광고(Sponsored)' 링크 중 교묘하게 주소를 바꾼 가짜 사이트가 섞여 있습니다. (예: unisiwap.org 등)
• 피해: 접속해서 지갑을 연결하고 비밀번호(복구 구문)를 입력하는 순간 지갑이 탈취됩니다.
• 방어법:
  1. 절대로 구글 검색 상단 광고 링크를 클릭하지 마세요.
  2. 공식 트위터나 코인마켓캡(CoinMarketCap)에 등록된 링크로만 접속하세요.
  3. 자주 쓰는 사이트는 반드시 '즐겨찾기(북마크)' 해두고 그걸로만 접속하세요.

3. 유형 2: 악성 서명 (무제한 승인)

나는 코인을 보낸 적이 없는데 지갑이 털리는 경우입니다.

• 수법: "무료로 코인을 준다(Airdrop)", "NFT 민팅 기회"라며 특정 사이트 접속을 유도합니다. 지갑 연결 후 승인(Approve) 버튼을 누르게 하는데, 이 내용이 사실은 *"내 지갑의 모든 자산을 빼가도 좋다"*는 악성 계약서인 경우입니다.
• 피해: 승인 버튼을 누르는 순간, 내 지갑에 있는 코인이 해커 지갑으로 자동 이체됩니다.
• 방어법:
  1. 공짜는 없습니다. 모르는 사이트에서 지갑 서명을 요구하면 무조건 의심하세요.
  2. 메타마스크 팝업 내용을 꼼꼼히 보세요. 승인하려는 한도(Spending Cap)가 무제한인지 확인하세요.

4. 필수 도구: 리보크 캐시 (Revoke.cash)

내가 과거에 어떤 사이트에 내 지갑 권한을 줬는지 확인하고, 그 권한을 취소(Revoke)하는 청소 도구입니다.

사용법

1. 접속: 공식 사이트(revoke.cash)에 접속합니다.
2. 연결: 내 지갑을 연결합니다.
3. 검사: 내가 권한을 준 코인 목록이 뜹니다. 듣도 보도 못한 사이트나, 더 이상 쓰지 않는 사이트에 'Unlimited(무제한)' 권한이 있다면 위험합니다.
4. 취소(Revoke): 위험해 보이는 항목 우측의 [Revoke] 버튼을 눌러 권한을 삭제합니다. (가스비 발생)

5. 보안 수칙 3계명

1. 비밀 복구 구문(12개 단어)은 죽어도 입력하지 않는다: 어떤 사이트도 연결을 위해 복구 구문을 요구하지 않습니다. 입력하라는 창이 뜨면 100% 사기입니다.
2. 버너 지갑(Burner Wallet) 사용: 에어드랍 신청이나 검증되지 않은 신규 프로젝트를 테스트할 때는, 주계좌가 아닌 깡통 지갑(소액만 넣은 새 지갑)을 사용하세요.
3. 주기적인 청소: 한 달에 한 번은 리보크 캐시에서 불필요한 권한을 삭제하세요.

6. 오늘의 결론

"설마 내가 당하겠어?"라고 생각하는 순간이 가장 위험합니다. 디파이 고수들도 피곤하거나 술에 취해 실수로 클릭 한 번 했다가 수억 원을 날리곤 합니다.

오늘 당장 리보크 캐시에 접속해서 내 지갑의 보안 상태를 점검해 보세요. 그것이 자산을 지키는 첫걸음입니다.

내일은 어떤 코인이 사기(Scam) 코인인지 구별해 내는 *'토큰 검증 방법(Token Sniffer)'*에 대해 알아보겠습니다.