1) Hyperliquid가 다른 점 (그리고 보안에 중요한 이유)

Hyperliquid는 두 개의 실행 환경을 갖춘 L1입니다

Hyperliquid는 분할 실행 모델을 갖춘 전용 Layer 1 체인입니다. HyperCore(퍼페츄얼 및 현물 거래를 위한 네이티브 온체인 오더북)와 HyperEVM(EVM 호환 스마트 계약)이 있습니다. 이 통합된 디자인은 일반 목적의 애플리케이션이 동일한 상태 위에 구성될 수 있도록 하면서 거래를 투명하고 성능적으로 유지하는 것을 목표로 합니다. 공식 개요는 Hyperliquid Docs에서 확인할 수 있습니다.

보안 의미: 더 이상 "이더리움의 dApp"에만 국한된 위험이 아닙니다. L1 합의(HyperBFT), 브리지, 선택적 에이전트/API 지갑을 포함하는 전체 스택과 상호 작용하게 됩니다. 실제로는 거래 계좌와 DeFi 지갑을 동시에 보호하는 것처럼 취급해야 합니다.

"비수탁형"은 여전히 "키 책임"을 의미합니다

Hyperliquid는 비수탁형임을 반복해서 강조합니다. 자신이 시작하지 않은 활동을 보게 된다면, 프로토콜이 자금을 "가져간" 것이 아니라 개인 키 또는 시드 문구가 손상되었음을 의미할 가능성이 높습니다. 공식 지침은 지원 기사 저는 속임수를 당하거나 해킹당했습니다에서 확인할 수 있습니다.

보안 의미: 주요 전투는 지갑 위생입니다. 즉, 장치 보안, 서명 습관, 가짜 프런트엔드 방지입니다.

2) 가장 흔한 실제 위협 (2025 → 2026)

위협 A: 가짜 사이트, 가짜 앱, "지원" 사칭

Hyperliquid는 명시적으로 경고합니다.

• 앱 스토어에는 공식 앱이 없습니다.
• 유사 도메인을 피하려면 전체 URL을 확인해야 합니다.

이는 Readme – 지원 가이드에 설명되어 있습니다.

보호 조치

• 공식 거래 URL을 북마크하고 해당 북마크만 사용합니다.
• "지원", "계좌 복구" 또는 "에어드랍 도움"을 제공하는 인바운드 DM을 절대 신뢰하지 마십시오.
• 서명을 요청받으면 잠시 멈추고 도메인을 문자별로 다시 확인하십시오.

위협 B: 시장 구조 공격 (스마트 계약 익스플로잇이 아니어도 손실 발생)

2025년, 여러 보고서에서 고레버리지, 얇은 유동성의 퍼페츄얼 시장에서 조작 스타일 공격이 발생했으며, 종종 "체인을 해킹"하는 것이 아니라 공유 유동성 메커니즘에 손실을 초래하는 것으로 나타났습니다. 예를 들어, 한 보고서는 밈 코인 폭포수 동안 HLP 금고에 발생한 부실 채무를 설명하며(블록체인 침해가 아니었음을 지적함) Yahoo Finance에서 관련 내용을 확인할 수 있습니다.

보호 조치

• 고립되고 유동성이 낮은 퍼페츄얼 시장은 "온체인" 여부와 관계없이 고위험으로 취급하십시오.
• 낮은 레버리지, 하드 손절매, 급격한 가격 변동을 가정한 포지션 사이징 규칙을 사용하십시오.
• 유동성을 제공하는 경우(예: 금고 참여), 꼬리 위험과 락업 기간을 신중하게 평가하십시오(섹션 4 참조).

위협 C: 키 유출 및 안전하지 않은 운영 설정

별도의 2025년 보고서에서는 Hyperliquid 사용자 지갑에 연결된 개인 키 유출로 인한 주요 손실을 설명했습니다. Yahoo Finance에서 관련 내용을 확인하십시오.

보호 조치

• 가장 큰 적은 키 노출이라고 가정하십시오: 악성코드, 클라우드 백업, 복사/붙여넣기 유출, 잘못된 사이트에서 서명하는 것입니다.
• 다른 주소를 사용하여 "금고 자금"과 "거래 자금"을 분리하십시오(구획화).

3) Hyperliquid 브리지 보안: 예치 전 알아야 할 사항

브리지 신뢰 모델 이해 (검증자 + 분쟁 기간)

Hyperliquid의 브리지 설계는 검증자 서명에 의존하며 안전을 위해 분쟁 기간을 도입합니다. 문서는 예치/인출이 검증자 서명(임계값 > 2/3 지분력)에 의해 이루어지며, 특정 분쟁 이벤트 후 브리지를 잠금 해제하려면 콜드 월렛 서명이 필요하다고 설명합니다. 공식 Bridge 문서를 참조하세요.

보호 조치

• 브리징을 별도의 위험 범주로 취급하십시오(브리지 로직 + 검증자 운영).
• 상당한 금액의 자금을 이동할 때는 먼저 소액의 테스트 예치/인출을 수행하십시오.

검증된 계약 및 탐색기 사용

개발자 문서는 브리지 계약 주소와 코드 참조를 나열하며, 여기에는 Arbitrum 탐색기 링크와 Bridge2 소스 파일이 포함됩니다. Bridge2 (API)에서 시작하여 상호 작용하기 전에 탐색기에서 확인하십시오.

단순 예치 실수로 자금을 잃지 마십시오

Hyperliquid의 Bridge2 문서는 최소 예치 금액을 명시하며(더 적은 금액은 손실될 수 있음을 경고함) Bridge2 (API)의 "Deposit" 섹션에서 확인할 수 있습니다.

보호 조치

• 보내기 전에 네트워크, 자산, 최소 금액을 다시 확인하십시오.
• 브리징 시 "다중 전송" 실험이나 익숙하지 않은 지갑을 피하십시오. 가장 통제된 환경을 사용하십시오.

4) 금고 참여 (HLP)는 "위험 없는 수익"이 아닙니다

Hyperliquidity Provider (HLP)는 유동성을 제공하고 마켓 메이킹 및 청산과 같은 전략을 수행하는 프로토콜 금고이며, 락업 기간이 포함됩니다. Protocol vaults (HLP)를 참조하세요.

보안 의미: HLP 위험은 단순히 스마트 계약의 정확성이 아니라 경제적이고 시스템적인 위험입니다. 계약이 의도대로 작동하더라도 극심한 변동성과 조작으로 인해 손실이 발생할 수 있습니다.

보호 조치

• 불리한 시장 상황에서 잃어도 괜찮은 금액 이상을 예치하지 마십시오.
• 승인, 에이전트 및 운영 위험을 격리하기 위해 금고 노출을 위한 전용 주소를 사용하는 것을 고려하십시오.

5) 에이전트 / API 지갑: 편의성 vs. 피해 범위

Hyperliquid는 마스터 계정 또는 하위 계정을 대신하여 서명할 수 있는 "API 지갑"(에이전트 지갑이라고도 함)을 지원합니다. 이는 Nonces and API wallets 및 Exchange endpoint (ApproveAgent 작업)에서 다룹니다.

보안 의미: 에이전트 지갑은 강력합니다. 클라우드 서버에서 에이전트 키를 생성하거나, 봇에 붙여넣거나, 여러 앱에서 재사용하는 경우, 단일 피싱 이벤트를 전체 계정 손상으로 바꿀 수 있습니다.

보호 조치

• 최소 권한 원칙: 에이전트 지갑은 필요할 때만 생성하고 정기적으로 제거/순환하십시오.
• 전략을 격리하기 위해 별도의 하위 계정(해당하는 경우)을 사용하십시오.
• 에이전트 키를 프로덕션 시크릿처럼 취급하십시오: 채팅 앱, 스크린샷 또는 클라우드 메모에 절대 저장하지 마십시오.

6) 손실을 실제로 방지하는 지갑 위생

불필요한 승인 취소 (특히 EVM에서)

규율 있는 사용자조차도 무기한 유효한 오래된 승인을 축적합니다. Revoke.cash와 같은 도구는 승인이 왜 위험한지, 그리고 안전하게 관리하는 방법을 설명하며 단계별 가이드 How to Revoke Token Approvals and Permissions도 제공합니다.

실질적인 루틴 (월별)

• 적극적으로 사용하는 체인의 승인을 검토하십시오.
• 알 수 없거나 더 이상 필요하지 않은 것을 취소하십시오.
• 새 dApp과 상호 작용한 후 같은 날 승인을 다시 확인하십시오.

"서명 규율" 연습

어떤 서명이라도 승인하기 전에:

• 도메인과 의도를 확인하십시오: 어떤 작업을 승인하는 것입니까?
• 인출 또는 계정 작업을 위해 사용되는 typed-data 서명에 주의하십시오(Hyperliquid는 특정 흐름에서 typed-data를 사용합니다. Bridge2 (API)의 구조화된 페이로드 참조를 확인하십시오).
• UI가 불분명하면 멈추고 공식 문서 또는 알려진 안전한 탐색기를 사용하여 확인하십시오.

고액 주소에는 하드웨어 지갑 사용

하드웨어 지갑이 모든 위험을 해결할 수는 없습니다(예: 악의적인 승인에 서명하는 것은 여전히 위험함). 그러나 키를 오프라인으로 유지하고 온디바이스 확인을 요구함으로써 악성코드가 개인 키를 직접 훔칠 가능성을 극적으로 줄입니다.

진지한 장기 설정을 구축하는 경우, Hyperliquid 사용과 OneKey와 같은 하드웨어 지갑을 페어링하면 보안 상태를 강화할 수 있습니다. 키는 오프라인으로 유지되고 모든 중요한 작업에는 물리적 확인이 필요하며, 이는 거래 자금, 금고 할당 및 에이전트 지갑을 승인하는 모든 주소를 보호하는 데 유용합니다.

7) 신뢰할 수 있는 것: 감사, 코드 및 공식 지침

감사는 도움이 되지만 범위 및 개선 사항을 확인하십시오

Hyperliquid의 브리지 로직은 Zellic에 의해 감사되었으며, Zellic’s Hyperliquid assessment에서 공개 보고서를 확인할 수 있습니다.

보호 조치

• 요약 보고서(executive summary)를 읽고 감사된 범위를 이해하십시오(예: Bridge2.sol 범위).
• 감사를 위험 감소책으로 여기십시오, 보증으로가 아닙니다.

표준 코드 참조 확인

개발자 및 고급 사용자가 계약 소스를 직접 확인하려는 경우, Hyperliquid는 hyperliquid-dex/contracts에서 계약 리포지토리를 게시합니다.

결론: 오늘 적용할 수 있는 보안 체크리스트

• 공식 Hyperliquid URL만 사용하고 앱 스토어의 "Hyperliquid 앱"은 무시하십시오 (지원 가이드).
• 구획화: 거래, 금고, 실험을 위한 별도 주소를 사용하십시오.
• 브리징을 고위험으로 취급하십시오: 계약 주소를 확인하고 소액으로 먼저 테스트하십시오 (Bridge).
• 에이전트/API 지갑을 순환하고 최소화하십시오 (Nonces and API wallets).
• 승인을 정기적으로 취소하십시오 (Revoke.cash).
• 상당한 잔액은 하드웨어 지갑(예: OneKey)을 사용하여 키를 오프라인으로 유지하고 의도적인 서명을 하십시오.

프로토콜 설계는 빠르게 개선되고 있지만 피싱과 키 도난이 지속적으로 발생하는 시장에서 가장 강력한 이점은 여전히 운영 규율입니다. 이는 하드웨어 기반 키 격리로 뒷받침됩니다.