가짜 Hyperliquid 사이트 식별 가이드

2026년 5월 6일
  • fake hyperliquid site
  • hyperliquid scam site
  • hyperliquid fake website
  • 가짜 Hyperliquid 웹사이트

검색엔진에 “Hyperliquid”를 입력하고 맨 위 검색 결과를 클릭했는데, 그 페이지가 가짜 사이트일 수도 있습니다. 공격자들은 피싱 페이지를 검색 결과 상단에 노출시키고, 공식 사이트와 거의 똑같이 보이게 만든 뒤, 사용자가 지갑을 연결하거나 서명하는 순간 자산을 탈취하는 방식에 매우 익숙합니다.

이 글에서는 가짜 Hyperliquid 사이트를 식별하는 실전 점검 방법을 정리합니다. 방문 전, 연결 전, 서명 전 무엇을 확인해야 하는지 차례대로 살펴보세요.

유일한 공식 진입 주소

가짜 사이트를 구분하는 방법을 보기 전에, 가장 중요한 정보부터 확인해야 합니다.

Hyperliquid의 공식 앱 주소는 다음 하나입니다.

https://app.hyperliquid.xyz/

지금 이 주소를 브라우저 북마크에 추가해 두세요. 앞으로 Hyperliquid에 접속할 때는 검색엔진을 거치지 말고, 반드시 북마크에서 직접 접속하는 습관을 들이는 것이 좋습니다. 이 한 가지 습관만으로도 대부분의 가짜 사이트 위험을 크게 줄일 수 있습니다.

가짜 사이트를 확인하는 5가지 방법

방법 1: URL의 모든 문자를 정확히 확인하기

가짜 사이트가 가장 자주 쓰는 방식은 도메인을 아주 미세하게 바꾸는 것입니다.

예를 들어 다음과 같은 변형이 있을 수 있습니다.

  • 문자 바꾸기: l(소문자 L)을 1(숫자 1)로, o0으로 바꾸기
  • 불필요한 문자 추가: hyper-liquid.xyz, hyperliquidapp.xyz
  • 최상위 도메인 변경: hyperliquid.net, hyperliquid.io, hyperliquid.vip
  • 접두사 또는 접미사 추가: app-hyperliquid.xyz, trade-hyperliquid.xyz
  • 국제화 도메인(IDN) 악용: 영문자와 비슷하게 생긴 특수문자 사용

Hyperliquid 관련 페이지에 접속하기 전에는 주소창을 한 글자씩 확인하세요. 정확히 app.hyperliquid.xyz와 일치해야 하며, 앞뒤에 추가 문자가 있어서는 안 됩니다.

OWASP의 피싱 공격 설명에서도 이러한 도메인 스푸핑 기법의 일반적인 변형을 다루고 있습니다.

방법 2: HTTPS 인증서 확인하기

브라우저 주소창의 자물쇠 아이콘을 클릭해 SSL 인증서 정보를 확인할 수 있습니다. 실제 Hyperliquid 사이트라면 인증서 대상에 올바른 도메인이 포함되어 있어야 합니다.

다만 중요한 점이 있습니다. HTTPS가 있다고 해서 그 사이트가 반드시 합법적인 것은 아닙니다. 가짜 사이트도 SSL 인증서를 발급받을 수 있습니다. HTTPS는 전송 구간이 암호화된다는 뜻이지, 사이트의 정체가 진짜임을 보장하는 것은 아닙니다.

즉, HTTPS는 필요 조건이지만 충분 조건은 아닙니다. 반드시 URL 확인과 함께 봐야 합니다.

방법 3: 링크가 어디서 왔는지 확인하기

누군가 “공식 링크”라며 주소를 보냈다면, 먼저 이 링크가 어디서 왔는지 생각해 보세요.

  • 검색 광고: 신뢰하지 않는 것이 좋습니다. 공격자들이 광고 영역을 구매하는 경우가 많습니다.
  • Telegram 개인 메시지: 매우 높은 위험입니다. 즉시 별도 검증이 필요합니다.
  • Discord 개인 메시지: 높은 위험입니다.
  • Twitter/X 게시물: 게시 계정이 인증된 공식 계정인지 확인해야 합니다.
  • 직접 저장해 둔 북마크: 가장 안전한 접근 방식입니다.

다른 사람이 보낸 링크를 통해 Hyperliquid에 바로 접속하지 마세요. 상대가 친구이거나 커뮤니티에서 알려진 사람이라도 마찬가지입니다. 소셜 계정은 해킹될 수 있고, 지인이 악성 링크인 줄 모르고 전달했을 수도 있습니다.

방법 4: 시드 문구나 개인키를 요구하는지 확인하기

Hyperliquid를 사칭하는 페이지가 다음 중 하나를 요구한다면 즉시 닫아야 합니다.

  • 시드 문구(Seed Phrase / Recovery Phrase) 입력
  • 개인키 입력
  • 지갑 “검증” 또는 “초기화”
  • 특정 “보안 도구” 다운로드

이런 요구는 가짜 사이트의 전형적인 특징입니다. 진짜 Hyperliquid는 사용자의 시드 문구나 개인키를 절대 요구하지 않습니다.

MetaMask의 시드 문구 보안 안내에서도 어떤 합법적인 애플리케이션도 이러한 정보를 요구하지 않는다고 설명합니다.

방법 5: 서명 전 트랜잭션 데이터를 확인하기

가짜 사이트의 최종 목표는 사용자가 정상적인 작업이라고 착각한 채 악성 트랜잭션에 서명하게 만드는 것입니다. MetaMask, OneKey 등 지갑에서 서명 요청이 뜨면 다음 항목을 꼼꼼히 확인하세요.

  • 컨트랙트 주소가 알려진 공식 주소인지
  • 트랜잭션 동작 설명이 내가 의도한 작업과 일치하는지
  • 특정 토큰에 대한 approve(승인) 요청이 포함되어 있는지
  • 특히 무제한 승인(infinite approval)이 아닌지

트랜잭션의 의미를 정확히 이해하지 못했다면 서명하지 않는 것이 원칙입니다.

EIP-712 서명 표준을 이해하면 여러 유형의 서명 요청이 어떤 의미를 갖는지 파악하는 데 도움이 됩니다.

가짜 사이트의 전형적인 외형 특징

가짜 Hyperliquid 사이트는 공식 사이트의 디자인, 로고, 버튼 배치, 컬러 톤을 거의 그대로 복제할 수 있습니다. 따라서 화면이 그럴듯해 보인다는 이유만으로 신뢰해서는 안 됩니다.

특히 다음과 같은 특징이 보이면 더 조심해야 합니다.

  • 접속 직후 지갑 연결을 과도하게 유도함
  • 에어드롭, 보상, 긴급 마이그레이션을 강조함
  • 짧은 시간 안에 서명해야 한다며 압박함
  • 보안 확인을 이유로 시드 문구나 개인키를 요구함
  • 공식 공지처럼 보이지만 링크 출처가 불분명함

피싱 사이트는 사용자가 천천히 확인하지 못하도록 심리적 압박을 주는 경우가 많습니다. 서두르게 만드는 페이지일수록 한 번 더 멈춰서 확인해야 합니다.

가짜 사이트에 속았다면: 긴급 대응 절차

이미 의심스러운 사이트에서 지갑을 연결했거나 서명했다면, 즉시 다음 단계를 실행하세요.

  1. 모든 작업을 즉시 중단하세요. 더 이상 서명하거나 확인 버튼을 누르지 마세요.
  2. 이미 트랜잭션에 서명했다면 Revoke.cash에 접속해 알 수 없는 승인 권한을 확인하고 철회하세요.
  3. 지갑에 남아 있는 자산을 새로 만든, 한 번도 노출되지 않은 지갑 주소로 옮기세요.
  4. 핫월렛을 사용 중이었다면 자산을 OneKey 하드웨어 지갑의 콜드 스토리지 환경으로 이전하는 방안을 고려하세요.
  5. 사건 경위를 기록하고, 공식 커뮤니티 채널에 경고를 공유해 다른 사용자가 같은 피해를 입지 않도록 도와주세요.

Drainer 공격에 대한 더 자세한 내용은 Chainalysis의 관련 연구를 참고할 수 있습니다.

OneKey 하드웨어 지갑이 제공하는 피싱 방어 장점

OneKey 하드웨어 지갑은 가짜 사이트 위협에 대응할 때 구조적인 장점이 있습니다.

설령 사용자가 실수로 가짜 사이트에 접속하더라도, 지갑 연결 단계만으로 공격자가 개인키를 가져갈 수는 없습니다. 가짜 사이트가 서명 요청을 띄우더라도, 사용자는 OneKey 하드웨어 기기 화면에서 물리적으로 내용을 확인하고 승인해야 합니다.

또한 OneKey 기기 화면에는 브라우저 확장 프로그램이나 악성 스크립트가 임의로 바꿀 수 없는 원본 트랜잭션 데이터가 표시됩니다. 하드웨어 화면에서 보이는 내용이 내가 의도한 작업과 다르다면, 예를 들어 내가 요청하지 않은 approve가 보인다면, 기기에서 바로 거절할 수 있습니다.

이것은 일반 소프트웨어 지갑만으로는 제공하기 어려운 보호 계층입니다. OneKey 기기 옵션은 onekey.so/download에서 확인할 수 있습니다.

Hyperliquid 관련 온체인 거래와 파생상품 거래를 더 안전한 흐름에서 관리하고 싶다면, OneKey 지갑과 함께 OneKey Perps를 사용하는 방식을 고려해 보세요. 지갑에서 서명 내용을 확인하고, 필요한 경우 OneKey 하드웨어 기기에서 최종 승인하는 습관을 함께 유지하는 것이 중요합니다.

자주 묻는 질문

Q1. Google 검색 결과 1위에 있는 Hyperliquid 링크는 공식 사이트인가요?

아닙니다. 공격자는 광고 순위를 구매해 가짜 사이트를 검색 결과 상단에 노출시킬 수 있습니다. “광고” 표시가 있는 결과는 그대로 신뢰하지 말고 반드시 검증해야 합니다. 가장 안전한 방식은 직접 저장한 북마크로 접속하는 것입니다.

Q2. CoinGecko나 CMC에 있는 링크를 통해 Hyperliquid에 접속해도 되나요?

CoinGecko와 CoinMarketCap에 표시된 공식 웹사이트 링크는 일반적으로 신뢰도가 높은 편입니다. 하지만 해당 플랫폼의 링크도 업데이트가 늦거나, 예외적으로 변조 위험이 완전히 없다고 볼 수는 없습니다. 가장 안전한 방법은 여전히 본인이 직접 저장한 북마크를 사용하는 것입니다.

Q3. Chrome 확장 프로그램 형태의 Hyperliquid 도구는 안전한가요?

비공식 브라우저 확장 프로그램은 위험이 높을 수 있습니다. 악성 코드나 데이터 탈취 기능이 포함될 가능성을 배제할 수 없습니다. 확장 프로그램이 필요하다면 개발자 신원을 확인하고, Hyperliquid 공식 커뮤니티에서 해당 도구에 대한 신뢰할 수 있는 언급이 있는지 살펴보세요.

Q4. Hyperliquid에 공식 모바일 앱이 있나요?

최신 공식 앱 여부는 Hyperliquid 공식 웹사이트와 공식 공지를 기준으로 확인해야 합니다. 이 글에서는 시간이 지나며 바뀔 수 있는 앱 상태를 단정하지 않습니다. 공식 앱이라고 주장하는 모든 앱은 설치 전 출처를 반드시 확인해야 합니다.

Q5. 가족이나 친구에게 가장 간단히 알려줄 수 있는 보안 원칙은 무엇인가요?

한 문장으로 정리하면 이렇습니다. Hyperliquid는 항상 북마크로만 접속하고, 어떤 페이지에서도 시드 문구나 개인키를 입력하지 마세요.

결론

가짜 Hyperliquid 사이트를 식별하는 방법은 복잡하지 않습니다. 다만 한 번만 확인하는 것이 아니라 습관으로 만들어야 합니다.

핵심은 세 가지입니다.

  • 검색 결과 대신 북마크로 접속하기
  • 서명 전 트랜잭션 내용 확인하기
  • OneKey 하드웨어 지갑에서 최종 승인하기

이 세 가지를 꾸준히 지키면 가짜 사이트로 인한 위험을 크게 낮출 수 있습니다.

OneKey 하드웨어 지갑은 서명 확인을 소프트웨어 환경 밖의 하드웨어 단계로 옮겨 주기 때문에, 피싱 사이트와 악성 스크립트에 대한 중요한 방어선이 됩니다. OneKey 제품은 onekey.so에서 확인할 수 있으며, Hyperliquid 관련 거래를 진행할 때는 OneKey Perps를 함께 사용해 실제 서명 전 확인 절차를 습관화해 보세요.

위험 고지: 이 글은 정보 제공만을 목적으로 하며 투자, 재무, 법률 자문이 아닙니다. 사이버 보안 위협은 계속 진화하고 있으며, 이 글의 식별 방법이 모든 공격 방식을 포괄하는 것은 아닙니다. 항상 접속 출처를 확인하고, 이해하지 못한 트랜잭션에는 서명하지 마세요.

OneKey로 암호화 여정 보호하기

View details for OneKeyOneKey

OneKey

세계에서 가장 진보한 하드웨어 지갑.

View details for 앱 다운로드앱 다운로드

앱 다운로드

스캠 경고. 모든 코인 지원.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

암호화 의문을 해결하기 위해, 한 번의 전화로.