감사 보고서가 있으면 DeFi 프로젝트가 안전한 건가요?

아닙니다. 감사는 특정 시점의 코드만 검토하며, 일부 프로젝트는 보고서를 위조하거나 잘못 인용하기도 합니다. 감사 기관의 공식 사이트에서 직접 보고서를 확인하고, 여러 신호 중 하나로만 참고하세요. 보장이 아닙니다.

허니팟 토큰이 뭔가요?

살 수는 있지만 팔 수는 없는 토큰이에요. 컨트랙트가 내부자 외에는 매도를 차단하도록 설계돼 있습니다. Honeypot.is 같은 툴이 매수와 매도를 모두 시뮬레이션해서 실제 돈을 쓰기 전에 걸러줘요.

DeFi에서 사기를 당하면 돈을 돌려받을 수 있나요?

대부분 불가능합니다. DeFi에는 고객센터도 환불도 없고, 전송된 트랜잭션은 되돌릴 수 없어요. 그래서 서명하기 전에 확인하는 게, 당한 뒤에 대응하는 것보다 훨씬 중요합니다.

오래된 토큰 승인을 왜 취소해야 하나요?

한 번 승인하면 직접 취소하기 전까지 그 권한은 계속 유효합니다. 나중에 해당 컨트랙트가 해킹당하면 공격자가 내 승인을 그대로 이어받아요. revoke.cash에서 주기적으로 사용하지 않는 승인을 취소하세요.

🧭 가이드 🔰 초보 🇰🇷 단계별

🛡️ DeFi 사기 알아보는 법 How to Spot Scams in DeFi

지갑을 연결하기 전에 이 체크리스트를 돌려보세요. 나쁜 프로젝트는 돈을 잃기 전에 먼저 꼬리를 드러냅니다.

DeFi는 누구에게나 열려 있어요. 그게 매력이기도 하고, 동시에 사기꾼들이 쉽게 자리 잡는 이유이기도 합니다. 은행도 회사도 대신 돈을 찾아주지 않아요. 한 가지 경고 신호만으로 사기라고 단정할 수는 없어요. 그래서 빠른 점검 여러 개를 겹쳐 쓰는 게 핵심입니다. 세 가지 이상에서 이상 신호가 나오면 그냥 넘어가세요.

1공식 도메인 확인

사기꾼들은 한 글자만 다른 유사 도메인을 사두고 검색 결과 최상단에 광고를 올려요. 검색 결과나 스폰서 링크를 클릭하는 대신, 주소를 직접 입력하거나 저장해 둔 북마크를 쓰세요. 지갑 앱은 반드시 프로젝트 공식 사이트에서만 내려받으세요.

처음 방문할 때 진짜 URL을 북마크에 저장해두고, 다음부터는 항상 그 북마크만 쓰세요.
2프로젝트 기본 정보 확인

프로젝트가 실제로 무엇을 하는지, 팀이 누구인지, 코드가 공개되어 있는지(최근 커밋이 있는 진짜 GitHub가 화려한 홈페이지보다 훨씬 믿음직해요) 읽어보세요. 이름과 이력이 공개된 팀은 익명 팀보다 도망치기 훨씬 어렵습니다.
3감사 보고서 찾고 직접 검증

CertiK, SlowMist, PeckShield 같은 알려진 기관의 스마트 컨트랙트 감사 보고서를 찾고, 반드시 그 기관의 공식 사이트에서 직접 열어보세요. 프로젝트 페이지의 배지는 증명이 아닙니다. De.Fi 스캐너도 자동화된 DeFi Score를 제공하니 교차 확인에 활용하세요.
4사기 탐지 툴로 토큰 스캔

상호작용하기 전에 토큰 컨트랙트 주소를 스캐너에 붙여넣어 보세요. Token Sniffer와 GoPlus Security는 사기 점수, 민팅 권한, 숨겨진 세금, 백도어를 잡아줍니다. Honeypot.is는 매수와 매도를 모두 시뮬레이션해서 허니팟(살 수는 있지만 팔 수 없는 구조)을 실제 돈을 쓰기 전에 걸러줘요. Bubblemaps와 Arkham은 지갑 클러스터를 시각화해 내부자 냄새를 맡게 해줍니다.
5유동성 확인

DexScreener나 DEXTools에서 해당 토큰을 열고 유동성 풀을 확인하세요. 풀 규모, 페어가 생긴 지 얼마나 됐는지, 유동성이 잠겨 있는지를 봅니다. 제대로 된 프로젝트는 보통 몇 달씩 잠가 두어요. 잠금이 없거나 며칠짜리라면, 팀이 풀을 빼내고 사라지는 러그풀이 언제든 가능한 상태입니다.
6홀더 분포와 토큰 나이 확인

지갑 하나가 전체 공급량의 절반 이상을 들고 있으면 한 번의 매도로 가격이 폭락할 수 있어요. 컨트랙트가 며칠 전에 생겼다면 판단할 역사 자체가 없고요. 이 두 가지는 함께 묶어서 읽어야 합니다. 홀더 분포와 생성 날짜, 같이 보세요.
7서명하는 내용 이해하기

트랜잭션을 확인하기 전에 내용을 미리 보여주는 지갑이나 툴을 쓰세요. Rabby, Pocket Universe, Tenderly는 서명이 실제로 무엇을 하는지 보여줘요. 미리보기에서 예상치 못한 토큰이 움직인다면 거절하세요. 이해되지 않는 것에는 절대 승인하지 마세요.
8승인 한도 최소화

dApp이 토큰 사용 승인을 요청할 때, 무제한 승인 대신 필요한 만큼만 한도를 설정하세요. 모든 승인은 표준 ERC-20 권한 체계를 따르는데, 한도를 제한해 두면 나중에 그 컨트랙트가 해킹당해도 피해를 줄일 수 있어요.
9승인 권한 정기 검토 및 취소

한번 준 승인은 직접 취소하기 전까지 계속 살아있어요. revoke.cash 같은 툴에 읽기 전용으로 연결해서 무제한이거나 낯선 spender를 찾아내고 취소하세요(가스비가 약간 들어요). Etherscan의 Token Approvals 페이지, Rabby, DeBank도 같은 기능을 제공합니다.
10공지는 반드시 교차 확인

행동하기 전에 두 곳 이상의 공식 채널에서 소식을 확인하세요. 도움을 주겠다거나 무료 토큰을 준다며 먼저 연락해 오는 메시지는 불신이 기본입니다. 정상적인 프로젝트는 DM으로 먼저 찾아와 트랜잭션을 안내하지 않아요.

🚩 지갑을 비우는 흔한 실수들

♾️ dApp 사용을 멈춘 지 한참 됐는데도 무제한 승인을 그대로 두는 것
✍️ 승인 피싱: 모르는 사람에게 내 토큰 사용 권한을 조용히 넘기는 요청에 서명하는 것
📋 주소 오염: 사기꾼이 내 트랜잭션 기록에 심어놓은 유사 주소를 복붙하는 것 (주소 오염 참고)
🔁 아직 쓰고 있는 프로토콜까지 무작정 일괄 취소해서 기능이 끊기는 것
📱 시드 구문을 기기 옆에 함께 보관하거나, 인증 앱 대신 SMS 인증을 쓰는 것

실제 위험 없이 흐름을 익히고 싶다면? 지갑을 연결하고 Uniswap 같은 툴에서 소액 한도 승인을 해본 뒤 바로 취소해보세요. 가스비 약간으로 전 과정을 몸으로 익힐 수 있어요.

❓ 자주 묻는 질문

감사 보고서가 있으면 DeFi 프로젝트가 안전한 건가요?: 아닙니다. 감사는 특정 시점의 코드만 검토하며, 일부 프로젝트는 보고서를 위조하거나 잘못 인용하기도 합니다. 감사 기관의 공식 사이트에서 직접 보고서를 확인하고, 여러 신호 중 하나로만 참고하세요. 보장이 아닙니다.
허니팟 토큰이 뭔가요?: 살 수는 있지만 팔 수는 없는 토큰이에요. 컨트랙트가 내부자 외에는 매도를 차단하도록 설계돼 있습니다. Honeypot.is 같은 툴이 매수와 매도를 모두 시뮬레이션해서 실제 돈을 쓰기 전에 걸러줘요.
DeFi에서 사기를 당하면 돈을 돌려받을 수 있나요?: 대부분 불가능합니다. DeFi에는 고객센터도 환불도 없고, 전송된 트랜잭션은 되돌릴 수 없어요. 그래서 서명하기 전에 확인하는 게, 당한 뒤에 대응하는 것보다 훨씬 중요합니다.
오래된 토큰 승인을 왜 취소해야 하나요?: 한 번 승인하면 직접 취소하기 전까지 그 권한은 계속 유효합니다. 나중에 해당 컨트랙트가 해킹당하면 공격자가 내 승인을 그대로 이어받아요. revoke.cash에서 주기적으로 사용하지 않는 승인을 취소하세요.

🔗 관련 용어·코인

🏃 러그풀 🔍 스마트 컨트랙트 감사 💧 유동성 풀 🎣 피싱 🔄 DEX 🦄 Uniswap 🥞 PancakeSwap

altrookie 콘텐츠 검증 방식