Hyperliquid 지갑 보안: OneKey와 함께하는 최고의 실천 방안

Hyperliquid 지갑의 위험 표면 파악하기

최고의 실천 방안을 알아보기 전에, 실제로 사용하는 “공격 가능한” 표면을 파악하는 것이 도움이 됩니다.

• 프론트엔드 위험: 피싱 사이트, 가짜 “지원” 링크, 악성 광고, 복제된 도메인.
• 서명 위험: 이해하지 못하는 메시지 서명 또는 거래를 요청하는 지갑 팝업.
• 승인 위험: 계약에 대한 지출 권한을 은밀히 부여하는 무제한 토큰 허용.
• 네트워크 구성 위험 (HyperEVM): 잘못된 체인 매개변수 추가 또는 신뢰할 수 없는 RPC 엔드포인트 사용.
• 운영 위험: 기기 멀웨어, 클립보드 하이재커, 자격 증명 재사용, 약한 이메일 보안.

보안은 주로 이러한 표면 중 얼마나 많은 것들이 동시에 노출되는지를 줄이는 것에 관한 것입니다.

최고의 실천 방안 (이유 포함)

1) URL 위생으로 시작하기 (대부분의 “해킹”은 피싱이기 때문)

Hyperliquid는 사용자에게 URL을 확인하고 가짜 앱을 피하도록 명시적으로 경고합니다. 또한 어떤 앱 스토어에도 공식 Hyperliquid 앱이 없다고 명시하며, 이를 주장하는 것은 사기라고 말합니다 (Hyperliquid 지원 가이드).

해야 할 일

• 공식 거래 페이지를 북마크하고 이후에는 해당 북마크만 사용합니다.
• 거래 URL에 대한 “스폰서” 검색 결과를 절대 신뢰하지 않습니다.
• DM, “계정이 플래그 지정됨” 메시지, “복구 서비스”는 기본적으로 적대적으로 취급합니다.

작동 원리

• 공격자는 가짜 페이지에서 사용자를 속여 비밀 정보를 입력하게 만들거나 서명하게 할 수 있다면 암호화를 해킹할 필요가 없습니다.

2) 지갑 분할 사용: 거래는 핫하게, 저축은 콜드로

간단한 규칙: 주력 지갑은 거래 지갑이 되어서는 안 됩니다.

권장 설정

• 콜드 월렛: 장기 보유 자산, dApp에 거의 연결되지 않음.
• 거래 지갑: 마진/담보에 필요한 자금만 보유; Hyperliquid 및 관련 dApp에 연결.
• 선택 사항 버너 월렛: 새 계약 테스트, 알 수 없는 링크, 실험적인 에어드랍.

작동 원리

• 거래 지갑이 손상되더라도 (잘못된 서명 또는 승인), 손실이 제한됩니다.

3) 모든 서명을 구속력 있는 승인으로 간주하기

많은 사용자들이 “거래가 아니다”라고 생각하며 서명을 과소평가합니다. 실제로는 서명이 종종 재사용되거나 시스템이 제대로 설계되지 않았다면 예상치 못한 상황에서 사용될 수 있는 승인으로 사용됩니다. 타이핑된 구조화된 데이터 서명(EIP-712)과 같은 표준은 서명을 더 투명하게 만들기 위해 존재하지만, 사용자는 여전히 서명하는 내용을 읽어야 합니다 (EIP-712).

해야 할 일

• 다음 내용을 언급하는 모든 프롬프트에서는 속도를 늦춥니다.
  • Approve, SetApprovalForAll, 또는 무제한 지출
  • 명확한 설명 없이 “계속하려면 서명”
• 지갑이 보안 화면에 상세 정보를 표시할 수 있다면, 웹 페이지가 아닌 해당 화면에 의존합니다.
• “일반적”으로 보이는 것 (도메인 컨텍스트 없음, 불명확한 지출자, 읽기 어려운 의도)은 거부합니다.

작동 원리

• 가장 비용이 많이 드는 공격은 종종 프롬프트가 로그인 또는 확인 단계로 위장되었기 때문에 “사용자 승인”으로 이루어집니다.

4) 허용 범위 최소화 및 정기적으로 취소하기

토큰 승인은 DeFi에서 가장 흔한 장기적 위험 중 하나입니다. 단 한 번의 무제한 승인이라도 dApp 사용을 중단한 후에도 오랫동안 위험할 수 있습니다.

해야 할 일

• 정확한 승인 선호 (필요한 만큼만 승인).
• 매월 정리 실행: Revoke.cash와 같은 신뢰할 수 있는 도구를 사용하여 이전 허용 범위를 취소합니다.

작동 원리

• 취소하면 향후 계약 악용 또는 악의적인 업그레이드 경로의 “손상 범위”가 줄어듭니다.

5) 실제 “루트 계정” 잠그기: 이메일 및 기기

지갑 보안은 온체인에만 국한되지 않습니다. 공격자가 이메일을 장악하면 종종 거래소 계정, SIM 교환, 소셜 계정, 지원 사칭 등으로 전환할 수 있습니다.

해야 할 일

• 강력한 MFA 사용 (가능하면 SMS 대신 패스키 또는 인증 앱 선호).
• OS 및 브라우저를 최신 상태로 유지합니다.
• 암호화폐 전용 브라우저 프로필 사용 (최소한의 확장 프로그램, 무작위 플러그인 없음).
• 스크린샷, 메모 앱, 클라우드 드라이브에 시드 문구를 절대 저장하지 않습니다.

작동 원리

• 대부분의 성공적인 지갑 손상은 암호화를 깨는 것이 아니라 비밀 정보를 훔치거나 세션을 훔치는 것을 포함합니다.

미국에 거주하는 경우, FBI의 사기 패턴 및 위험 신호를 읽어 “투자 사기” 스크립트를 조기에 인식하는 것도 가치가 있습니다 (FBI 암호화폐 투자 사기 안내).

6) HyperEVM 안전: 네트워크 세부 정보 확인 및 새 프론트엔드 주의

HyperEVM을 사용하는 경우, Hyperliquid 문서에서 제공하는 공식 매개변수 (체인 ID, RPC URL, 탐색기)를 사용하여 네트워크를 추가합니다. Hyperliquid는 메인넷 세부 정보 (체인 ID 999, RPC https://rpc.hyperliquid.xyz/evm)를 제공합니다 (HyperEVM 사용 방법).

또한 참고: Hyperliquid 문서는 EVM에 대한 공식 프론트엔드 구성 요소가 없다고 명시합니다. 상호 작용은 JSON-RPC를 통해 이루어지며, 타사 프론트엔드가 존재할 수 있습니다 (HyperEVM 개요).

해야 할 일

• 공식 네트워크 구성 값을 사용합니다.
• 새로운 HyperEVM dApp은 주의해서 다룹니다. 알 수 없는 계약처럼 취급합니다.
• 채팅에 게시된 “무작위 RPC” 엔드포인트를 피합니다.

작동 원리

• 잘못된 네트워크 엔드포인트와 신뢰할 수 없는 프론트엔드는 의도하지 않은 거래에 서명하게 만들 수 있습니다.

7) 브릿지 및 인프라 위험 이해 (모든 것을 올바르게 수행하더라도)

프로토콜 측 위험은 실재합니다. Hyperliquid의 브릿지 계약은 타사 보안 검토를 받았습니다 (예: Zellic의 공개 평가) (Zellic Hyperliquid 감사 보고서).

해야 할 일

• 거래/브릿지 위험에 불필요한 잔액을 노출시키지 마십시오.
• 이익은 주기적으로 콜드 스토리지로 옮깁니다.
• 새로운 흐름은 먼저 소량으로 테스트합니다.

작동 원리

• 개인 보안은 스마트 계약 또는 인프라 위험을 완전히 제거할 수는 없지만, 노출 시간과 규모를 줄일 수 있습니다.

빠른 사고 발생 시 체크리스트 (악의적인 서명을 했다고 의심되는 경우)

• 사이트 연결을 끊고 탭을 닫습니다.
• 즉시 토큰 승인을 취소합니다 (Revoke.cash).
• 키/세션 손상이 의심되면 남은 자금을 새 주소 (가급적 콜드)로 옮깁니다.
• 멀웨어를 검사하고, 이메일/소셜/거래소 계정의 비밀번호를 교체하고 세션을 재설정합니다.
• 지원 및 상태 확인은 공식 Hyperliquid 채널만 사용합니다 (Hyperliquid 지원 가이드).

OneKey 하드웨어 지갑이 가장 적합한 곳

OneKey 지갑은 서명 및 승인과 같이 실수가 비용이 많이 드는 바로 그 순간에 가장 가치가 있습니다. 개인 키를 오프라인으로 유지하고 작업에 대한 물리적 확인을 요구함으로써, 하드웨어 지갑은 다음과 같은 사항으로부터 보호하는 데 도움이 됩니다.

• 키를 추출할 수 없는 멀웨어
• 빠르고 부주의한 승인에 의존하는 피싱 흐름
• 잘못된 기기/계정 컨텍스트에서 발생하는 우발적인 서명

암호화폐 보안에 진지하다면, 하드웨어 기반 서명과 분할 (콜드 대 거래 지갑) 및 정기적인 허용 범위 위생을 결합하십시오. 이러한 조합은 오늘날 Hyperliquid 사용자가 우려하는 대부분의 실제 손실 시나리오를 해결합니다.