Hyperliquid 보안 감사: 하드웨어 월렛 권장 사항

2026년 1월 26일

Hyperliquid의 공개 감사가 다루는 내용 (및 다루지 않는 내용)

브릿지 계약: 감사 완료, 명확한 범위 경계 포함

Hyperliquid의 Docs는 Zellic이 수행한 Hyperliquid 브릿지 계약에 대한 감사를 게시하고 있으며, 여기에는 다음이 포함됩니다.

이 보고서들은 가치가 있지만, 명시적으로 범위가 지정되어 있습니다 (예: 패치 검토에서는 오프체인 구성 요소, 프런트엔드 구성 요소, 인프라 및 키 보관과 같은 제외 사항이 명시되어 있습니다). 감사는 보증이 아니라 강력한 신호로 간주하십시오.

버그 바운티: 성숙도의 징후이지 면역의 징후가 아님

감사 외에도 Hyperliquid는 범위 내 항목(노드, API 서버, 테스트넷 HyperEVM 구성 요소 포함), 제출 규칙 및 심각도 예시를 설명하는 공식 버그 바운티 프로그램을 게시합니다 (Hyperliquid 버그 바운티 프로그램).

라이브 버그 바운티 프로그램은 긍정적인 보안 관행이지만, 사용자 입장에서는 주로 다음과 같은 의미를 갖습니다: 항상 적대적인 압력이 존재한다고 가정하고 계정을 해당 방식으로 설정하십시오.

2026년 Hyperliquid 사용자에게 실제 위협 모델

DeFi에서의 대부분의 손실은 "암호화폐 해독"으로 인해 발생하는 것이 아닙니다. 예측 가능한 운영상의 실패에서 비롯됩니다.

1) 피싱 및 가짜 프런트엔드

Hyperliquid의 지원 가이드(2026년 1월 중순 업데이트)는 사용자에게 URL을 확인하고, 사칭 "앱"을 피하며, 공식 채널에 의존할 것을 명시적으로 경고합니다 (Hyperliquid 지원 가이드). 이는 피싱 인식 및 안전한 링크 습관에 대한 광범위한 정부 지침과 일치합니다 (CISA 피싱 지침).

2) "먼저 서명하고 나중에 후회하는" 승인 및 허가

공격자가 항상 시드 구문을 필요로 하는 것은 아닙니다. 악의적인 승인(또는 속이는 허가)에 서명하면, 본인도 모르게 토큰 이동을 승인할 수 있습니다. Revoke.cash와 같은 도구가 존재하는 것은 이것이 생태계 전반에 걸쳐 지속적인 문제이기 때문입니다.

3) 브라우저 환경에서의 키 유출

악성 확장 프로그램, 클립보드 하이재커, 가짜 RPC 엔드포인트 및 자격 증명 스터핑은 모두 핫 월렛을 손상시킬 수 있습니다. 하드웨어 월렛이 위험 프로필을 의미 있게 변경하는 지점입니다.

4) 에이전트 / API 키 오용 (특히 봇 거래자)

Hyperliquid는 **API 월렛(에이전트 월렛)**을 지원합니다. 이는 거래를 위임할 수 있는 서명자이지만, 에이전트 키가 유출될 경우 인출 위험을 줄이도록 설계되었습니다. 그러나 유출된 에이전트 키는 여전히 피해를 주는 거래, 청산 또는 괴롭힘을 유발할 수 있습니다. Hyperliquid는 에이전트에 대한 논스(nonce) 동작, 프루닝(pruning) 및 운영 지침을 문서화합니다 (논스와 API 월렛).

보안 모범 사례: 실용적인 보호 체크리스트

1) "어디서"를 잠그세요: 실제로 작동하는 피싱 방지 습관

  • 사용하는 사이트를 북마크하고 검색 광고 클릭을 중단하십시오.
  • 연결하기 전에 전체 도메인 및 TLS 상태를 확인하십시오.
  • 원치 않는 DM은 기본적으로 적대적으로 취급하십시오.

브라우저 위생 및 URL 유효성 검사에 대한 CISA의 "안전하게 웹사이트에 액세스" 체크리스트는 좋은 기준입니다 (CISA 웹사이트 액세스 팁).

2) 역할 분리: 하나의 월렛이 모든 것을 해서는 안 됩니다

견고한 설정은 **분할(segmentation)**을 사용합니다.

  • 금고 월렛: 장기 자금, 최소한의 상호 작용.
  • 거래 월렛: 마진/담보 및 활성 서명에 필요한 것만.
  • 봇 에이전트 월렛: 제한된 권한을 가진 위임된 서명자.

이는 피해 범위를 줄입니다. 거래 환경이 손상되더라도 장기 보유 자산을 자동으로 잃는 것은 아닙니다.

3) 에이전트 월렛을 올바르게 사용하고 (그리고 교체하십시오)

API를 통해 거래하는 경우 Hyperliquid의 에이전트 모델 및 논스 규칙을 숙지하십시오.

  • 에이전트는 마스터 계정에서 서명을 위해 승인될 수 있습니다.
  • 논스는 고빈도 거래를 지원하기 위해 이더리움과 다르게 관리됩니다.
  • 에이전트는 프루닝/만료될 수 있으며, 논스 상태도 프루닝될 수 있습니다. 따라서 오래된 에이전트 주소 재사용을 피하십시오.

참조: 논스와 API 월렛

운영 팁: 프로덕션 비밀처럼 에이전트 개인 키를 취급하십시오.

  • 무작위 "터미널"에 절대 붙여넣지 마십시오.
  • 일반 텍스트 메모에 절대 저장하지 마십시오.
  • OS 키체인, 암호화된 금고 또는 적절한 비밀 관리자를 선호하십시오.

4) 서명하는 내용을 이해하십시오 (특히 형식화된 데이터)

최신 DeFi는 종종 형식화된 구조화된 데이터 서명(EIP-712)을 사용합니다. 월렛 UI는 여전히 모호할 수 있으며, 공격자는 이러한 모호성을 악용합니다.

  • 체인 컨텍스트가 올바른지 확인하십시오.
  • 서명 요청이 불분명하면 서명하지 마십시오.
  • 형식화된 데이터 서명의 기본 사항을 배워 이상 징후를 감지할 수 있도록 하십시오.

참조: EIP-712 사양

5) 승인 위생 실천 ( "보이지 않는" 권한 방지)

  • 정기적으로 할당량을 검토하고 필요하지 않은 것은 취소하십시오.
  • 알 수 없는 dApp 또는 의심스러운 링크와 상호 작용한 경우 즉시 취소하십시오.

참조: Revoke.cash

6) 로그인 표면 강화 (특히 이메일 기반 흐름)

암호화폐에서 이메일 로그인을 사용하는 경우, 해당 이메일 계정을 은행 금고처럼 안전하게 보호하십시오.

  • 가능한 경우 피싱 방지 MFA(다단계 인증)를 활성화하십시오.
  • 비밀번호 관리자와 함께 고유한 비밀번호를 사용하십시오.
  • 복구 옵션을 잠그십시오.

실용적인 기본 설명: NIST MFA 지침

Hyperliquid 거래자를 위한 하드웨어 월렛 권장 사항

하드웨어 월렛은 모든 사기에 대한 마법의 방패는 아닙니다 (예: 잘못된 승인 서명을 자동으로 방지할 수는 없습니다). 하지만 손상된 컴퓨터에서 개인 키가 추출되는 가장 치명적인 실패 모드를 크게 줄여줍니다.

권장 설정 패턴

패턴 A: 금고 + 거래 월렛 (대부분의 사용자)

  • 자산의 대부분은 거의 서명하지 않는 하드웨어 월렛 주소에 보관하십시오.
  • 작업 자본만 별도의 거래 주소로 이동하십시오.
  • 활성 환경에 많은 잔액을 유지하기보다는 주기적으로 충전하십시오.

이를 통해 일상적인 거래를 실용적으로 만들면서 "실제 보유 자산"을 손이 닿지 않는 곳에 보관할 수 있습니다.

패턴 B: 하드웨어 월렛 + 에이전트 월렛 (API / 봇 거래자)

  • 하드웨어 월렛을 사용하여 에이전트 월렛을 승인하고 관리하십시오.
  • 에이전트 키를 프로덕션 인프라 자격 증명처럼 저장하십시오.
  • 일정을 기반으로 에이전트를 교체하고, 노출에 대한 의심이 조금이라도 있으면 즉시 교체하십시오.

이는 자동화를 유지하면서 키 위험을 줄이는 가장 깔끔한 방법입니다.

패턴 C: 2단계 복구 계획 (모든 사람이 해야 함)

  • 시드 백업을 완전히 오프라인 상태로 유지하십시오.
  • 추가 암호 구문(별도의 백업 전략 포함)을 고려하십시오.
  • 필요하기 전에 예비 장치에서 복구를 테스트하십시오.

간단한 거래 전 보안 체크리스트 (복사/붙여넣기)

- 북마크된, 검증된 도메인에 접속했는가 (광고/DM/단축 링크 없음)
- 내 거래 월렛은 장기 금고 월렛이 아니다
- 내 기기에는 최소한의 확장 프로그램만 설치되어 있고 완벽하게 업데이트되었다
- 무엇에 서명하는지 이해하고 있다 (chainId / 형식화된 데이터 / 승인)
- 오래된 승인은 주기적으로 취소한다
- 봇 사용 시: 에이전트 월렛 키는 격리되어 있고, 주기적으로 교체되며, 절대 공유되지 않는다

OneKey의 역할 (선택 사항이지만 실용적)

Hyperliquid를 위한 자체 보관 워크플로우를 업그레이드하려는 경우, OneKey는 정확히 이러한 환경을 위해 설계되었습니다. 하드웨어 기반 키 격리 기능은 일상적인 DeFi 사용에 적합하며, 암호 구문 지원 및 개인 키를 컴퓨터에서 분리 상태로 유지하면서 빈번한 서명에 최적화된 사용자 경험과 같은 기능을 제공합니다.

핵심 아이디어는 "장치를 구매하면 안전해진다"가 아닙니다. 하드웨어 월렛을 사용하여 의사 결정(사용자)과 키 자료(장치)를 분리하고, 위의 운영 제어와 결합하여 완벽한 암호 보안 태세를 구축하는 것입니다.

최종 참고 사항

  • 감사는 위험을 줄이지만 제거하지는 않습니다. 감사를 통해 범위를 이해하십시오. 판단을 아웃소싱하는 데 사용하지 마십시오.
  • 대부분의 실제 손실은 분할, 확인 및 규율 있는 서명을 통해 방지할 수 있습니다.
  • 빠르게 변화하는 온체인 거래 세계에서 하드웨어 월렛은 편의성보다는 최악의 결과 통제에 관한 것입니다.

OneKey로 암호화 여정 보호하기

View details for OneKeyOneKey

OneKey

세계에서 가장 진보한 하드웨어 지갑.

View details for 앱 다운로드앱 다운로드

앱 다운로드

스캠 경고. 모든 코인 지원.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

암호화 의문을 해결하기 위해, 한 번의 전화로.