Hyperliquid 지갑 보안 체크리스트 \[2026 업데이트\]

2026년 1월 26일

2026년 이 체크리스트가 중요한 이유

자체 보관은 DeFi의 핵심 약속이지만, 이는 곧 귀하가 보안의 최전선임을 의미합니다. 2025년 말, 한 거래자가 Hyperdrive 관련 활동과 연관된 개인 키 유출로 인해 약 2,100만 달러를 잃었다는 보도가 있었습니다. 이는 업계에 (다시 한번) 하나의 키가 손상되면 기존에 확보했다고 생각했던 모든 안전 조치가 무효화될 수 있음을 상기시켰습니다 (Cointelegraph 보도).

동시에, 온체인 범죄 데이터는 사기가 빠르게 확산되고 있음을 보여줍니다. Chainalysis는 2025년 신원 도용AI 기술 활용으로 인해 암호화폐 사기 및 조작으로 170억 달러가 도난당한 것으로 추정했습니다 (Chainalysis). 활동적인 거래자에게 실질적인 요점은 간단합니다. 귀하의 가장 큰 위험은 더 이상 "스마트 계약 버그"뿐만이 아니라, 피싱, 위조 인터페이스, 악성 서명, 장치 손상 등이 될 것입니다.

이 체크리스트는 지갑을 연결하거나, 담보를 예치하거나, 거래/봇 접근을 승인하기 전에 적용할 수 있는 보안 모범 사례 및 보호 조치에 중점을 둡니다.

위협 모델 (방어해야 할 대상)

1) 피싱 및 유사 도메인

공격자는 갈수록 광고, SEO, 가짜 소셜 계정, "지원" 사칭 등을 이용하여 사용자를 복제 사이트로 유인한 후, 승인 서명을 받거나 비밀 정보를 내보내도록 속입니다.

2) 위험한 서명 (가스리스라고 해서 무해한 것은 아닙니다)

많은 플랫폼은 편의를 위해 가스리스 서명을 사용합니다 (예: "거래 활성화" 흐름). 서명이 유료 거래가 아니라고 해서 자동으로 안전한 것은 아닙니다.

3) 토큰 승인 및 "드레인"

무제한 허용량은 악성 계약이 나중에 사이트를 "연결 해제"한 후에도 귀하의 토큰을 사용할 수 있게 합니다.

4) 브라우저 확장 프로그램 / 엔드포인트 손상

2025년, 연구원들은 악성 브라우저 추가 기능이 암호화폐 사용자를 대상으로 자격 증명을 훔치는 캠페인을 보고했습니다 (TechRadar 요약).

5) API / 에이전트 지갑 유출

자동 거래를 하는 경우, 운영 키 관리가 지갑 보안 상태의 일부가 됩니다. 공식 문서는 개인 키를 공유하지 말라고 명시적으로 경고합니다 (공식 문서).

보안 체크리스트 (모든 예치 또는 거래 세션 전에 사용하세요)

1) 대상 확인 (URL 우선, 지갑 다음)

  • 공식 거래 인터페이스를 북마크하고 이후에는 북마크만 사용하십시오: app.hyperliquid.xyz
  • 올바른 문서를 읽고 있는지 확인하십시오 (검색 결과의 무작위 "가이드"는 피하십시오): 공식 문서
  • DM은 기본적으로 적대적인 것으로 간주하십시오. 누군가가 "지원"이라고 주장한다면, 다른 증거가 없는 한 사칭으로 간주하십시오 (이는 Chainalysis의 신원 도용 조사 결과와 일치합니다: Chainalysis).

빠른 규칙: 광고나 메시지 링크를 통해 여기에 도착했다면, 중단하고 북마크에서 다시 열어보십시오.

2) 목적별 자금 분할 (피해 범위 제어)

최소 두 개의 주소를 사용하십시오:

  • 거래 지갑: dApp, 서명, 승인 및 자동화에 노출될 수 있는 금액만 넣으십시오.
  • 금고 / 저축 지갑: 거의 연결되지 않는 장기 보유 자산용입니다.

이 구조는 거래 환경이 손상될 경우 피해를 제한합니다.

3) 이메일 기반 로그인을 사용하는 경우, 개인 키처럼 이메일을 보호하십시오

이메일 액세스에 의존하는 경우, 이메일 계정이 제어판이 됩니다. 최소한의 강화 조치:

  • 다중 인증을 활성화하고, 가능한 경우 앱 기반 또는 피싱 방지 방법을 우선적으로 사용하십시오 (CISA MFA 지침).
  • 고유 비밀번호 + 비밀번호 관리자를 사용하십시오.
  • 복구 코드는 오프라인에 저장하십시오.

보다 엄격한 인증을 위해 NIST는 비밀번호 및 일반 OTP 방식은 피싱 방지 기능이 없다는 점을 강조하는 반면, 암호화 방식은 가능하다고 설명합니다 (NIST SP 800-63B 인증 장치).

4) 개인 키는 오프라인으로 유지하십시오 (그리고 "핫" 환경은 일회용으로 준비하십시오)

하드웨어 지갑은 키가 일상적으로 사용하는 컴퓨터에 존재할 필요가 없기 때문에, 순수한 개인 키 도난에 대한 최고의 방어 수단 중 하나입니다.

장기 보관을 위해 OneKey를 사용하기로 선택했다면, 명확하고 실용적인 장점은 개인 키가 장치에 유지되고 거래 시 물리적 확인이 필요하다는 것입니다. 이는 악성 코드가 비밀 정보를 조용히 유출할 가능성을 줄여줍니다.

중요한 뉘앙스: 하드웨어 지갑은 직접 서명한 악성 승인으로부터 자동으로 보호해주지는 않습니다 (Revoke.cash에서 설명한 승인 위험 참고: Revoke.cash).

5) 모든 서명 및 거래를 보안 엔지니어처럼 읽으십시오

무엇이든 승인하기 전에:

  • 상호 작용 중인 도메인을 확인하십시오.
  • 메시지 서명인지 온체인 거래인지 확인하십시오.
  • 다음 사항에 주의하십시오:
    • "보안 업그레이드" 프롬프트
    • "지갑 확인" 루프
    • 페이지 로드 직후 예상치 못한 서명 요청
    • 승인을 요청하는 "에어드랍 클레임" 페이지

지갑 프롬프트가 불분명하면, 취소하고 새로 고침한 후 북마크에서 다시 열어보십시오.

6) 토큰 승인을 지속적인 부채로 취급하십시오 (정기적으로 취소)

정기적인 지갑 위생 관리로 수행하십시오:

모범 사례:

  • 사용자 정의 가능한 금액으로 해결될 경우 무제한 승인은 피하십시오.
  • 기능 사용을 마친 후, 특히 곧 다시 돌아오지 않을 경우 승인을 취소하십시오.
  • 악성 서명을 했다고 의심되면, 승인을 취소하는 것은 손상 통제 단계입니다 (이미 도난당한 자금을 복구해주지는 않습니다).

7) 거래 자동화를 하는 경우, "에이전트 지갑"을 메인 지갑과 분리하십시오

봇을 실행하거나 타사 도구를 연결하는 경우, 주 개인 키를 노출하지 마십시오. 전용 서명 키를 사용하고 권한을 최소화하십시오.

문서에는 마스터 계정을 대신하여 서명할 수 있는 **API 지갑 (에이전트 지갑)**에 대해 설명되어 있습니다 (공식 API 지갑 문서). 실질적인 보호 조치:

  • 봇 / 프로세스별로 별도의 에이전트 키 생성 (하나의 키를 모든 곳에 재사용하지 마십시오).
  • 공유되지 않은 컴퓨터의 일반 텍스트 .env 파일이 아닌, 보안 관리자에 에이전트 키 저장.
  • 장치 손상 또는 팀 접근 변경 후 키 로테이션.
  • 공격 표면을 줄이기 위해 사용하지 않는 에이전트 키 제거 / 교체 (활성 키가 적을수록 침입 경로가 적음).

8) 브라우저 및 장치 강화 (확장 프로그램은 지갑의 일부)

악성 애드온이 암호화폐 사용자에 영향을 미친다는 반복적인 보고를 감안할 때 (TechRadar):

  • 암호화폐 전용 전용 브라우저 프로필 사용.
  • 가능한 한 적은 확장 프로그램 설치 (필수 외에는 이상적으로는 없음).
  • OS 및 브라우저 업데이트 유지.
  • 악성 확장 프로그램이 의심되면, 제거하고 공식 보고 / 해결 조치를 따르십시오 (Mozilla 지침).

9) 안전하게 입출금 (복사-붙여넣기도 공격 대상이 될 수 있음)

  • 새로운 경로를 사용할 때는 작은 금액으로 테스트하십시오.
  • 화면 및 지갑 확인 UI에서 주소 확인.
  • 제3자 스크린샷이 아닌, 공식 온보딩 / 브리징 지침 따르기 (공식 온보딩 가이드).

10) 사고 대응 계획 준비 (필요하기 전에)

문제가 느껴진다면 (예상치 못한 서명, 알려지지 않은 승인, 계속 프롬프트를 띄우는 "정체된" UI):

  • 즉시 거래 중단.
  • 최근 승인 취소 (Revoke.cash / Etherscan 검사기).
  • 남은 자금을 안전한 주소로 이동 (가급적 콜드 지갑).
  • 장치가 손상되었을 수 있다고 가정하고, 계속하기 전에 깨끗한 환경으로 전환.

60초 거래 전 체크리스트 (복사/붙여넣기)

  • [ ] 북마크에서 거래 사이트 열기 (검색/광고에서 열지 않기)
  • [ ] 도메인 및 HTTPS 확인
  • [ ] 거래 지갑에 노출될 수 있는 금액만 보유
  • [ ] 이전 세션 이후 새로운 확장 프로그램 설치되지 않음
  • [ ] 지갑 프롬프트 읽기: 메시지 서명 vs 거래
  • [ ] 사용 후, 불필요한 승인 취소

마무리: 암호화폐 보안 수준을 높이는 실용적인 방법

실제 손실의 대부분은 복잡한 암호학 때문이 아니라 운영상의 실패 (피싱, 승인, 엔드포인트 손상)에서 비롯됩니다. 2026년에 단 두 가지 습관을 채택한다면 다음 두 가지를 선택하십시오:

  1. 장기 자금은 콜드 설정에 보관하고 (OneKey와 같은 하드웨어 지갑은 개인 키를 일상 컴퓨터에서 멀리 유지하는 데 도움이 될 수 있습니다)
  2. 승인 및 서명을 지속적인 위험으로 취급하고 정기적으로 검토 및 취소하십시오.

OneKey로 암호화 여정 보호하기

View details for OneKeyOneKey

OneKey

세계에서 가장 진보한 하드웨어 지갑.

View details for 앱 다운로드앱 다운로드

앱 다운로드

스캠 경고. 모든 코인 지원.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

암호화 의문을 해결하기 위해, 한 번의 전화로.