Web3 & 크립토
보안 모범 사례
크립토 세계에서는 내가 곧 은행입니다. 그만큼 완전한 통제권을 가지는 대신, 책임도 100% 나에게 있습니다. 이 가이드는 자산을 최대한 안전하게 지키기 위한 실질적인 습관들을 정리합니다.
퀵 스타트: 지갑 ‘털림’을 막는 법
이 가이드는 이미 셀프 커스터디 지갑(예: MetaMask, Phantom)을 사용 중인 Rodeyo 플레이어와 크리에이터를 대상으로 합니다. 지갑이 처음이라면, 충분히 익숙해질 때까지 아주 작은 금액으로 테스트 전송을 해 보세요.
- Secret Recovery Phrase(시드 구문)를 어디에도 입력하거나 공유하지 마세요.
- 콜드 볼트, 트레이더, 버너로 구성된 3‑단계 지갑 구성을 사용하세요.
- 모든 서명 요청을 읽어 보고, 위험한 행동 전에 트랜잭션 시뮬레이터로 미리 확인하세요.
- 오래된 토큰 및 NFT 승인 권한을 주기적으로 revoke(취소)하세요.
- SMS가 아닌 2단계 인증(2FA)을 사용하고 이메일, Discord 등 커뮤니케이션 채널의 보안을 강화하세요.
시드 구문 보호하기
한 번이라도 노출되면, 몇 분 안에 자산이 털릴 수 있습니다. 비밀번호 재설정 버튼도, 되돌려 주는 고객센터도 없습니다. Rodeyo는 이런 트랜잭션을 취소할 수 없습니다.
- 스크린샷이나 사진을 절대 찍지 마세요.
- 이메일, 클라우드, 메신저, 비밀번호 관리 앱에 절대 저장하지 마세요.
- 웹사이트, 앱, 팝업 창에 절대 입력하지 마세요.
- ‘지원’, ‘관리자’, 친구를 포함해 누구와도 절대 공유하지 마세요.
- 종이에 적거나 금속 플레이트에 새겨 두세요.
- 방수·방화 금고 같은 물리적으로 안전한 곳에 보관하세요.
- 큰 금액을 입금하기 전에, 지갑의 검증 기능으로 단어가 정확한지 한 번 더 확인하세요.
어떤 Rodeyo 관리자, 모더레이터, 지원 직원도 Secret Recovery Phrase나 프라이빗 키를 요구하지 않습니다. 요구한다면 무조건 사기입니다.
멀티 티어 지갑 전략 사용하기
모든 자산을 한 지갑에 몰아 두지 마세요. 사용 빈도와 위험도에 따라 자산을 세 개의 바구니로 나누세요.
장기 보관용 자산은 콜드 볼트, 일상적인 사용은 트레이더 지갑, 위험하거나 실험적인 활동은 버너 지갑에 두는 방식입니다.
최고 수준 보안
1. 콜드 볼트 (Cold Vault)
하드웨어 지갑(예: Ledger/Trezor). dApp에 직접 연결하지 않고, 오직 트레이더 지갑으로만 자금을 보냅니다.
중간 위험
2. 트레이더 (Trader)
Uniswap, Rodeyo, OpenSea 등 신뢰할 수 있는 플랫폼에서 사용하는 소프트웨어 지갑(예: MetaMask).
높은 위험
3. 버너 (Burner)
잔액을 거의 넣지 않는 임시 지갑입니다. 새롭고 검증되지 않은 프로젝트를 민트하거나 위험할 수 있는 링크를 눌러볼 때 사용합니다.
자금 흐름은 한 방향으로만: Cold Vault → Trader → Burner. Cold Vault에서 바로 새롭고 검증되지 않은 컨트랙트나 랜덤 웹사이트로 보내는 일은 피하세요.
트랜잭션 안전하게 서명하기
크립토 지갑은 보통 코드와 숫자를 보여 줄 뿐, 자연어 설명이 부족합니다. 'Confirm'을 누르기 전에, 지갑에서 어떤 자산이 빠져나가는지 반드시 이해해야 합니다.
Rodeyo 및 다른 dApp에서는 로그인 메시지나 본인이 직접 시작한 행동(리스팅, 구매 등)에 대해서만 서명해야 합니다. 갑자기 뜬금없는 서명 요청이 뜨면, 일단 취소하고 사이트 URL을 다시 확인하세요.
트랜잭션 시뮬레이터 사용하기
Pocket Universe, Wallet Guard 같은 브라우저 확장을 설치해 보세요. 실제 전송 전에 시뮬레이션을 돌려 어떤 토큰과 NFT가 움직이는지 한눈에 보여 줍니다.
Allowance(승인) 취소하기
어떤 토큰에 대해 'Unlimited Spending'을 승인하면, 해당 dApp은 나중에 언제든지 그 토큰을 가져갈 수 있습니다. 특히 위험한 사이트를 사용한 후에는 예전 승인 권한을 주기적으로 취소하세요.
서명할 때 체크해야 할 경고 신호
거래에서 이런 징후가 보이면 잠시 멈추고 무엇을 승인하는지 다시 확인하세요.
‘무료 민트’인데 가스비 이상으로 꽤 많은 ETH를 보내라고 나오면, 강하게 의심해야 합니다. 진행하기 전에 반드시 공식 링크를 다시 확인하세요.
'SetApprovalForAll'이 보인다는 것은 해당 컨트랙트가 컬렉션 전체 NFT를 다시 묻지 않고 옮길 수 있다는 뜻입니다. 완전히 신뢰하는 마켓·컨트랙트에만 승인하세요.
일반적인 사기 패턴 알아보기
Address Poisoning
공격자가 당신의 주소와 앞 4자리, 뒤 4자리가 같은 주소에서 0달러 트랜잭션을 보내 헷갈리게 만드는 수법입니다.
항상 중간 자리까지 함께 확인하거나, 주소록 기능을 사용하세요. 최근 트랜잭션 목록에서 주소를 그대로 복사하는 습관은 버리세요.
가짜 에어드롭 / 피싱 웹사이트
갑자기 지갑에 이상한 NFT가 들어오고, 특정 URL에서 보상을 '클레임'하라고 한다면 거의 확실히 사기입니다. 해당 NFT와는 절대 상호작용하지 마세요.
- rodeyo.com 같은 공식 URL을 북마크해 두세요.
- Google 검색 결과에서 맨 위에 뜨는 광고 링크는, 특히 크립토 관련일 때 사기일 가능성이 큽니다. 바로 클릭하지 마세요.
- 새로운 민트·캠페인은 Rodeyo 공식 공지에서 한 번 더 확인한 뒤에만 지갑을 연결하세요.
털렸다고 느껴진다면 이렇게 하세요
피해를 최소화하려면 빠르게 대응하세요
- 1서명을 중단하고 연결 해제하기
의심스러운 사이트와의 상호작용을 즉시 중단하세요. 탭을 닫고, 지갑에 떠 있는 요청은 모두 거절합니다.
- 2남은 자산을 새 지갑으로 옮기기
악성 프로그램이 없는 기기와 지갑에서, 남아 있는 자산을 새 시드 구문으로 만든 완전히 새로운 지갑으로 옮기세요. 노출된 지갑은 영구적으로 위험한 것으로 간주합니다.
- 3위험한 승인 권한 revoke
revoke.cash 같은 도구나 지갑 내장 기능을 사용해 토큰·NFT 승인 권한을 취소하세요. 특히 의심되는 dApp에 대한 권한부터 우선적으로 처리해야 합니다.
- 4기기와 계정 점검하기
보안 스캔을 돌리고, 수상한 브라우저 확장을 삭제하고, 필요한 곳은 비밀번호와 2FA를 변경하세요.
- 5다른 사람에게 알리고 지원팀에 문의하기
Rodeyo 아이템이 관련되어 있다면, 공식 채널을 통해 Rodeyo 지원팀에 연락하세요. 친구나 커뮤니티에도 알려서 같은 공격에 당하는 사람이 없도록 도와주세요.
운영 보안(OpSec) 체크리스트
- SMS가 아닌 2FA 사용하기Authy, Google Authenticator 같은 인증 앱이나 YubiKey를 사용하세요. SMS는 SIM 스와핑 공격에 취약합니다.
- Discord DM 잠그기서버 멤버에게서 오는 DM을 꺼 두면, 사칭 계정에게 당할 가능성이 훨씬 줄어듭니다.
- 공식 채널만 신뢰하기Rodeyo 지원팀이 먼저 DM을 보내 seed phrase를 요구하는 일은 절대 없습니다.
- 기기 상태 깨끗하게 유지하기운영체제와 브라우저를 항상 최신 버전으로 유지하고, 정체 모를 확장 프로그램·소프트웨어(특히 크립토 관련)는 설치하지 마세요.
- 위험한 네트워크 피하기가능하다면 공용 Wi‑Fi나 여러 사람이 함께 쓰는 컴퓨터에서는 트랜잭션 서명을 하지 마세요.
- 급박함·FOMO를 경계하기사기꾼은 '지금 안 하면 손해' 같은 가짜 긴박감과 확정 수익을 미끼로 사용합니다. 마음이 급해진다면 잠시 멈추고, 반드시 공식 채널에서 다시 확인하세요.
