Wallet getting drained: a self-custody wallet with coins escaping out of it and a red draining status — the guide explains how to revoke a malicious token approval, save what is left, and avoid the recovery scam — Cryptonakta

지갑이 털리고 있다면? — 악성 토큰 승인 취소(revoke)와 남은 자산 지키는 법

작성자:

지갑이 털리고 있다면? — 악성 토큰 승인 취소(revoke)와 남은 자산 지키는 법

메타마스크·디파이 사용자를 위한 응급 매뉴얼 — 업비트·빗썸만 쓰면 해당 없음

2026년 6월 업데이트
1분 요약 — 내 상황부터 찾으세요

상황지금 당장 할 일
업비트·빗썸만 사용토큰 승인 드레인 대상 아님(자가수탁 지갑 사용자만 해당)
지갑에 자산이 남아 있음연결해제 → 무제한 승인 revoke → 새 시드 지갑으로 대피
이미 다 털림증거 확보 → 경찰청 사이버범죄 신고시스템·112 신고 (복구대행 결제 금지)
시드가 노출됐을 수 있음revoke로 부족 — 무조건 새 지갑으로 전 자산 이전
혼동 주의‘연결해제’≠’승인취소’ / revoke는 이미 나간 돈 못 되찾음
이 글에서 다루는 내용
1. 먼저 1초 자가진단 — 업비트·빗썸만 쓴다면 이 글은 당신 얘기가 아닐 수 있다
2. 당신이 당한 그 함정 — 카카오·텔레 리딩방 ‘클레임’ 버튼의 정체
3. 지갑이 비었나, 안 비었나 — 두 갈래로 갈리는 긴급 대응 트리
4. 아직 안 비었다면 — 연결해제 → 승인취소 → 새 지갑 대피
5. 착각하면 다 털린다 — ‘연결해제’와 ‘승인취소’는 완전히 다르다
6. 토큰 승인이 뭐길래 — 서명 한 번이 영구 인출권이 되는 구조
7. Revoke.cash 실제로 따라하기 — 조회 모드, 최신순, ‘무제한’ 먼저
8. 이미 다 털렸다면 — 인정하고, 추적하고, 경찰청에 신고
9. 복구대행·가짜 고객센터 — 시드를 묻는 순간 그게 2차 사기다
10. 하드웨어 지갑·revoke의 한계 — 이것만 믿으면 안 되는 이유
11. 가짜 revoke.cash 사이트 주의 — 패닉을 노린 똑같이 생긴 피싱
12. 다시 깨끗하게 시작하기 — 새 시드 지갑과 안전한 보관처
13. 앞으로 안 당하려면 — 무제한 승인 피하기, 주기적 점검 습관

카카오 리딩방이나 텔레그램 단톡방에서 받은 ‘에어드랍 클레임’ 링크에 지갑을 연결해 서명한 적 있다면, 지금부터 차분히 읽어주세요. 다만 시작 전에 딱 1초만요. 코인을 업비트·빗썸 같은 거래소 앱 안에만 두고 쓰신다면, 이 글의 ‘토큰 승인 드레인’은 원칙적으로 당신 얘기가 아닙니다. 진짜 위험군은 메타마스크 같은 내 지갑으로 디파이를 직접 만진 분이에요. 그분들을 위해, 지갑이 비었는지부터 갈라서 순서대로 정리했습니다.

지갑 드레인 긴급 대응 결정 흐름도. 나쁜 링크나 가짜 에어드랍이 내 서명을 가져가면서 시작하고, '지갑에 자금이 남아 있나?'를 핵심 질문으로 두 갈래로 나뉜다. 남아 있으면(긴급) 연결 끊기는 임시방편일 뿐이라 멈추지 않으니, Revoke.cash 읽기전용으로 무제한 승인을 최신순 정렬해 회수한 뒤 남은 자산을 새 지갑으로 옮긴다. 이미 비었으면 온체인 추적과 트랜잭션 해시 저장, FBI IC3나 현지 사이버수사대 신고, 세무 전문가에게 손실처리 문의로 이어지며 복구 수수료는 절대 내지 않는다. 시드문구를 어딘가 입력했다면 회수가 소용없으니 전부 새 지갑으로 옮긴다. 연결 끊기는 승인 회수와 다르고, 블록체인 거래는 되돌릴 수 없어 수수료 받고 복구해준다는 말은 2차 사기다.
지갑이 털리는 순간 어떻게 움직일지 한눈에 보는 흐름도. 자금이 남았는지부터 갈라서, 남았으면 승인 회수와 새 지갑 대피, 이미 비었으면 추적·신고로 이어집니다. 연결 끊기는 승인 회수가 아니며, ‘수수료 받고 복구’는 2차 사기입니다.

1. 먼저 1초 자가진단 — 업비트·빗썸만 쓴다면 이 글은 당신 얘기가 아닐 수 있다

1초 자가진단. 코인을 업비트·빗썸 같은 국내 거래소 앱 ‘안에’만 두고 쓰신다면,
지금 이 글에서 말하는 ‘토큰 승인(approval) 드레인’은 원칙적으로 당신 얘기가 아닐 가능성이 큽니다.
반대로 메타마스크·OKX 지갑 같은 내 지갑(자가수탁)을 깔고, 디파이나 에어드랍 사이트에 지갑을 연결해서
‘서명(Sign)’ 버튼을 눌러본 적 있으세요? 그럼 지금부터 진짜 집중해서 읽으셔야 돼요.

왜 이렇게 갈리느냐면요. 업비트나 빗썸에 코인을 넣어두면, 그 코인은 사실 거래소가 보관합니다.
내 손에 지갑 비밀번호(시드)가 없잖아요. 토큰 승인이라는 건 ‘내 지갑에 있는 토큰을 어떤 스마트 계약이
가져갈 수 있게 허락’하는 행위인데, 애초에 토큰이 내 지갑이 아니라 거래소 금고에 있으니
허락할 것도, 털릴 것도 없는 거죠.

그래서 이 글은 국내 거래소 현물 계정만 쓰는 분이 아니라,
메타마스크·트러스트월렛·OKX 지갑 등 자가수탁 지갑으로 디파이를 만진 분을 위한 응급 매뉴얼입니다.
단, 오해는 마세요. 거래소를 쓴다고 해서 ‘나는 무적’은 아닙니다. 거래소도 해킹·계정 탈취 위험이 있고,
가짜 거래소 사이트로 비밀번호를 빼가는 피싱은 별개로 존재하거든요. approval 드레인 대상이 아닐 뿐입니다.

2. 당신이 당한 그 함정 — 카카오·텔레 리딩방 ‘클레임’ 버튼의 정체

한국에서 이 사고는 거의 정해진 길로 들어옵니다. 카카오톡 오픈채팅 ‘리딩방’, 텔레그램 코인 단톡방,
혹은 인스타·X DM으로 날아온 ‘에어드랍 받아가세요’ 링크. KISA(한국인터넷진흥원) 집계를 봐도
메신저 사칭이 전체 사칭 사기의 70%를 넘을 만큼, 카카오톡은 한국 사기범들의 일터죠.

흐름은 이렇습니다. ① 링크를 누르면 그럴싸한 사이트가 뜨고 ② ‘지갑 연결(Connect Wallet)’을 누르라 하고
③ 마지막에 ‘클레임(Claim)’ 또는 ‘받기’ 버튼이 나옵니다. 이 버튼을 누르면 메타마스크 같은 지갑이
서명 창을 띄웁니다. 여기가 함정이에요. 다들 ‘에어드랍 받는 서명이겠거니’ 하고 누르는데,
그 서명, 알고 보면 “내 토큰 이 컨트랙트가 알아서 빼가도 됨” 이걸 허락하는 경우가 수두룩하거든요.

핵심. 가짜 에어드랍은 당신 돈을 그 자리에서 빼가지 않습니다.
대신 ‘앞으로 언제든 빼갈 수 있는 권한’을 받아갑니다. 그래서 며칠 뒤, 큰 금액이 들어온 순간
지갑이 텅 비는 일이 생기는 거죠. 서명 한 번이 영구 인출권이 됩니다.

그리고 패닉에 빠진 사람을 노리는 2차 함정이 또 있습니다. ‘복구대행’·’가짜 고객센터’.
이건 뒤에서 따로 다루겠습니다. 일단 지금은 지갑 상태부터 확인하는 게 먼저입니다.

3. 지갑이 비었나, 안 비었나 — 두 갈래로 갈리는 긴급 대응 트리

당황스럽겠지만, 대응은 딱 두 갈래로 갈립니다. 지갑에 아직 코인이 남아 있냐, 이미 다 빠져나갔냐.
이거에 따라 해야 할 일이 완전히 달라지거든요. 블록 익스플로러(이더스캔 등)나 지갑 앱에서
잔액을 확인해보세요.

지금 상황1순위로 할 일꼭 알아둘 점
아직 안 비었음 (긴급)① dApp 연결해제 → ② 위험·무제한 approval 취소(revoke) → ③ 남은 자산을 새 시드 지갑으로 대피시드·개인키가 통째로 새나갔다면 revoke만으론 부족 — 무조건 새 지갑으로 옮겨야 합니다
이미 다 털림손실 인정 → 온체인 추적(거래 해시 확보) → 경찰청 사이버범죄 신고시스템·112 신고복구대행에 돈 보내지 마세요 — 거의 다 2차 사기입니다

아직 안 비었다면 시간 싸움입니다. 바로 다음 섹션 순서대로 움직이세요.
이미 비었다면 뒤쪽 ‘이미 다 털렸다면’ 섹션으로 건너뛰셔도 됩니다.

4. 아직 안 비었다면 — 연결해제 → 승인취소 → 새 지갑 대피

아직 자산이 남아 있다면, 아래 순서를 그대로 따라가세요. 순서가 중요합니다.

1단계 — 연결된 dApp에서 지갑 연결해제

메타마스크 같은 지갑 앱에서 ‘연결된 사이트(Connected sites)’를 열어, 의심스러운 사이트를 전부 끊습니다.
다만 이건 ‘응급처치’일 뿐 근본 해결이 아닙니다. 왜 그런지는 바로 다음 섹션에서 설명할게요.

2단계 — 위험한 토큰 승인 취소(revoke)

Revoke.cash나 이더스캔 같은 도구로 들어가, 내 지갑이 내준 승인 목록을 봅니다.
무제한(Unlimited)으로 잡힌 항목, 그리고 최근에 새로 생긴 의심스러운 항목부터 취소합니다.
취소(revoke)는 그 토큰을 가져갈 수 있는 권한을 0으로 되돌리는 거래라, 약간의 가스비가 듭니다.

3단계 — 남은 자산을 새 시드 지갑으로 대피

혹시 시드(복구문구) 자체가 노출됐을 가능성이 조금이라도 있으면, revoke로는 부족합니다.
공격자가 이미 내 지갑 열쇠를 들고 있을 수 있으니까요. 완전히 새로 만든 시드의 지갑으로
남은 코인·NFT를 전부 옮기세요. 가스비가 필요하니, 메인 코인(가스용)을 약간 남겨두고 토큰부터 빼는 식으로
순서를 잡으면 됩니다.

대피처는 어디로? 새 시드로 만든 자가수탁 지갑(메타마스크 새 계정, OKX 지갑,
Binance Web3 Wallet 등)이 기본입니다. 일부는 안전하게 보관하려고 평판 있는 거래소로 옮기기도 하는데,
이때는 입금 네트워크를 반드시 맞춰 보내야 합니다(망 잘못 고르면 또 사고나거든요.
잘못된 네트워크 전송 글 참고하세요).

5. 착각하면 다 털린다 — ‘연결해제’와 ‘승인취소’는 완전히 다르다

여기서 다들 제일 많이 헷갈려요. ‘연결해제(Disconnect)’ 눌렀다고 ‘승인취소(Revoke)’까지 된 게 아닙니다.
이 둘을 같은 걸로 알고 끊었으니 됐다 안심하는 사이에, 자산은 계속 빠져나가고 있거든요.

동작실제 효과남는 위험
연결해제(Disconnect)그 사이트가 내 지갑 주소를 들여다보는 것만 중단이미 내준 approval은 그대로 살아 있음 → 자금 이동 계속 가능
승인취소(Revoke)토큰을 가져갈 권한(allowance)을 0으로, 가스비 발생이미 빠져나간 전송은 못 되돌림(앞으로만 막음)
새 지갑으로 대피공격자가 쥔 열쇠를 무력화시드가 샜다면 이게 유일한 근본 해결책

비유하면 이렇습니다. 연결해제는 가게 CCTV 화면을 꺼버린 거예요. 도둑이 안 보일 뿐,
이미 내준 가게 열쇠(approval)는 도둑 손에 그대로 있습니다. 진짜 막으려면 그 열쇠를 회수(revoke)해야 하고,
열쇠 복사본(시드)까지 통째로 털렸다면 가게 자체를 옮겨야(새 지갑) 하는 거죠.

6. 토큰 승인이 뭐길래 — 서명 한 번이 영구 인출권이 되는 구조

대체 ‘토큰 승인’이 뭐길래 서명 한 번에 이렇게 되는 걸까요. 짚고 넘어가는 게 좋겠습니다.

이더리움 계열(ERC-20) 토큰을 디파이에서 쓰려면, 스마트 계약이 내 토큰을 옮길 수 있게
미리 허락을 받아야 합니다. 이게 allowance(승인 한도)예요. 예를 들어 탈중앙 거래소에서
스왑을 하려면 “이 컨트랙트가 내 USDT를 가져가서 교환해도 돼” 하고 한 번 승인해줘야 거래가 됩니다.
정상적인 기능이죠.

근데 여기 함정이 두 개 있어요. 일단 이 승인이라는 게, 내가 직접 안 지우면 평생 안 사라집니다.
디파이 다 쓰고 사이트 창을 닫아도 승인은 온체인에 그대로 남아 있거든요. 그리고 또 하나, 많은 사이트가
편하다는 핑계로 한도를 아예 무제한(unlimited)으로 잡아버려요. 한도가 사실상 무한대(2의 256승)다 보니,
한 번 서명해주면 그 토큰을 몇 번이고 가져갈 수 있게 되는 거죠.

그래서 가짜 에어드랍의 ‘클레임’이 무서운 겁니다.
악성 컨트랙트에 무제한 승인을 한 번 내주면, 공격자는 그 뒤로 언제든 그 토큰을 통째로 가져갈 수 있어요.
지금 지갑이 비어 있어 별일 없어 보여도, 나중에 큰돈이 들어온 순간 그게 드레인되는 구조입니다.

7. Revoke.cash 실제로 따라하기 — 조회 모드, 최신순, ‘무제한’ 먼저

가장 흔히 쓰는 무료 도구가 Revoke.cash입니다. 오픈소스(깃허브에 코드 공개)이고
100개가 넘는 EVM 네트워크를 지원하며, 조회 모드(read-only)가 있어서 지갑을 연결하지 않고
주소만 붙여넣어도 내가 어떤 승인을 내줬는지 먼저 볼 수 있습니다.

도구형태특징
Revoke.cash웹·오픈소스100+ EVM, 조회 모드, 최신순 정렬, ‘무제한’ 필터
이더스캔·BscScan 등 익스플로러Token Approval Checker 기능 내장
지갑 내장 revoke(메타마스크·OKX·Binance Web3)지갑 앱별도 사이트 없이 승인 관리

실제 화면, 이렇게 보세요

① 먼저 조회 모드로 내 주소를 넣어 승인 목록을 띄웁니다.
② 정렬을 최신순(Newest to Oldest)으로 바꿉니다. 방금 당한 악성 승인은 보통 맨 위에 있거든요.
③ 한도가 ‘Unlimited(무제한)’으로 표시된 항목부터 처리합니다. 위험이 제일 크니까요.
④ 정말 취소할 때만 지갑을 연결하고 ‘Revoke’ 버튼을 누릅니다. 각 취소마다 가스비가 듭니다.

가스비가 아까워도 무제한 승인부터. 여러 개를 한꺼번에 못 지우면,
최근에 생긴 무제한 승인 → 큰 잔액이 들어올 토큰의 승인 순으로 우선순위를 잡으세요.

8. 이미 다 털렸다면 — 인정하고, 추적하고, 경찰청에 신고

확인해보니 이미 자산이 다 빠져나갔다면. 솔직히 말씀드릴게요.
온체인에서 이미 실행된 전송은 되돌릴 수 없습니다. 누구도 그걸 ‘취소’해줄 수 없어요.
revoke를 지금 해도 이미 나간 건 안 돌아옵니다(앞으로의 추가 드레인만 막을 뿐).
받아들이기 힘들겠지만, 이 사실을 인정하는 게 2차 피해를 막는 출발점입니다.

그래도 해야 할 일은 있습니다.

  • 증거부터 확보. 이더스캔 등에서 빠져나간 거래 해시(TxID), 공격자 지갑 주소, 시각, 금액을 캡처·기록합니다.
  • 온체인 추적. 자금이 어느 주소로, 어떤 믹서·거래소로 흘러갔는지 익스플로러로 따라가 봅니다(되찾기 위해서가 아니라 신고 자료용).
  • 신고. 한국은 경찰청 사이버범죄 신고시스템(ECRM)에 온라인 신고하거나 112로 신고합니다.
    미국 FBI IC3는 한국 사는 분한테는 신고할 데가 아니에요. 우리는 경찰청·112가 맞습니다.
  • 피해 자금이 특정 거래소로 들어갔다면, 그 거래소 고객센터에 거래 해시와 함께 신고하면 동결 검토가 될 수도 있습니다(보장은 아님).
여기서 절대 하지 말 것. ‘복구해드린다’는 업체에 돈을 보내는 것.
다음 섹션에서 왜 그게 2차 사기인지 자세히 말씀드립니다.

9. 복구대행·가짜 고객센터 — 시드를 묻는 순간 그게 2차 사기다

지갑이 털린 직후가 사람이 제일 약해지는 순간입니다. 그걸 정확히 노리는 게
‘복구대행’과 ‘가짜 고객센터’예요. 카카오톡 채널, 댓글, DM으로 ‘해킹 코인 복구 전문’,
‘거래소 공식 상담원’을 사칭해 접근합니다. 한국에선 이게 진짜 흔합니다.

이런 요구를 하면판정
시드(복구문구)·개인키를 알려달라100% 사기 — 그 자체가 드레인입니다
먼저 복구 수수료를 보내면 회수해준다사기
원격제어 앱(팀뷰어 등)을 깔고 화면을 보여달라사기
경찰·기관인데 복구 비용을 청구한다기관 사칭 사기

이건 그냥 외워두세요. 진짜 수사기관이든 거래소 상담원이든, 시드나 개인키를 묻는 데는 단 한 곳도 없습니다.
상대가 자기를 뭐라고 소개하든, 시드를 묻는 그 순간 사기예요.
참고로 FBI IC3 집계만 봐도, 2023~2024년 한 해 동안 이런 ‘복구 사기’ 2차 피해가 약 990만 달러를 넘었습니다.
한국도 다르지 않습니다.

시드는 어디에도 입력하지 마세요. 사이트 입력칸, 복구대행 채팅, 고객센터 사칭,
그 어디에도요. 시드를 넣는 순간 그게 진짜 끝입니다.

10. 하드웨어 지갑·revoke의 한계 — 이것만 믿으면 안 되는 이유

‘나는 하드웨어 지갑(렛저·트레저) 쓰니까 괜찮아.’ 안타깝지만 이건 절반만 맞습니다.

하드웨어 지갑은 개인키가 인터넷에 노출되는 걸 막아줍니다. 그건 분명한 장점이에요.
근데 당신이 직접 승인한 악성 approval은 하드웨어 지갑도 그대로 충실히 서명합니다.
가짜 에어드랍에서 ‘확인’ 버튼을 누르면, 렛저든 메타마스크든 똑같이 그 위험한 승인을 실행해줘요.
지갑은 ‘이게 사기야’를 판단하지 못합니다. 당신이 누른 대로 할 뿐이죠.

이걸 ‘맹목 서명(blind signing)’이라고 합니다. 서명 내용이 무슨 뜻인지 모르고 누르는 거예요.
2025년 바이비트 대형 해킹(약 15억 달러), WazirX 사고(약 2.3억 달러)도 이 맹목 서명이 얽힌 사고였습니다.
하드웨어가 만능이 아니라는 걸 보여주는 사례죠.

그리고 revoke 자체의 한계도 다시 짚어둡니다. revoke는 앞으로의 드레인만 막습니다.
이미 나간 돈은 못 돌려요. 게다가 시드가 통째로 샜으면 revoke를 아무리 해봤자 소용없습니다.
공격자가 열쇠를 쥐고 있으니 승인을 또 새로 만들어버리면 그만이거든요. 그땐 무조건 새 지갑입니다.

11. 가짜 revoke.cash 사이트 주의 — 패닉을 노린 똑같이 생긴 피싱

마지막으로, 가장 악질적인 함정. 가짜 revoke.cash 사이트.

드레인 사고가 터지면, 사기범들은 몇 시간 안에 진짜 revoke.cash와 똑같이 생긴 가짜 도메인을 만들어
띄웁니다. 그리고 X(트위터)·카카오·텔레그램에 ‘지금 당장 revoke 하세요!’ 같은 가짜 보안 글을 도배해요.
패닉에 빠진 사람이 급한 마음에 그 링크 누르고 지갑 연결하잖아요? 거기서 또 털리는 겁니다.
보안 보안랩(Blockaid 등)도 이런 패턴을 관측해왔습니다.

그래서 검색해서 들어가지 마세요. 광고·SNS 링크로 들어가지 말고,
정확한 주소를 직접 입력하거나 북마크해두고 거기로만 들어가세요. 그리고 어떤 revoke 사이트든
시드 문구를 입력하라고 하면 그건 100% 가짜입니다. 진짜 revoke 도구는 절대 시드를 묻지 않습니다.

실제 사례 하나. 2025년 1월, X에 올라온 가짜 아비트럼(Arbitrum) 거버넌스 제안
‘투표하세요’ 링크로 위장해 approval 서명을 유도했고, 800만 달러 넘게 털렸습니다.
‘공식처럼 보이는 것’이랑 ‘진짜’는 엄연히 다릅니다. 도메인은 항상 한 글자씩 뜯어보세요.

12. 다시 깨끗하게 시작하기 — 새 시드 지갑과 안전한 보관처

응급 대응이 끝났으면, 이제 깨끗하게 다시 시작할 차례입니다. 핵심은
오염됐을 수 있는 옛 지갑을 버리고, 완전히 새 시드로 새출발하는 거예요.

  • 새 시드 지갑 생성. 메타마스크 새 지갑, OKX 지갑, Binance Web3 Wallet 등으로
    새 복구문구를 만듭니다. 옛 시드는 다시 쓰지 마세요.
  • 시드는 오프라인으로. 종이에 적어 안전한 곳에. 사진·메모앱·클라우드·카톡 나에게 보내기, 전부 금지입니다.
  • 자산 이전. 남은(또는 새로 받을) 코인을 새 지갑이나 평판 있는 거래소로 옮겨 보관합니다.

장기 보관이 목적이면 평판 있는 거래소에 두는 분도 있고, 직접 들고 싶으면 새 자가수탁 지갑에 둡니다.
어느 쪽이든 ‘깨끗한 출발’이라는 점이 중요합니다. 거래소로 옮긴다면 가입·매수가 처음인 분을 위해
아래에 정리해뒀습니다.

Binance

Binance signup QR — scan to open Binance (Cryptonakta referral)혜택받고 가입 →

코드: CRYPTONAKTA
앱을 직접 설치해 가입하면, 가입 화면 ‘추천인 코드’ 칸에 CRYPTONAKTA를 넣으세요 — 그래야 혜택이 적용됩니다.
Binance Web3 Wallet(MPC·앱 내장·승인 관리 UI)

OKX

OKX signup QR — scan to open OKX (Cryptonakta referral)혜택받고 가입 →

코드: 46938989
앱을 직접 설치해 가입하면, 가입 화면 ‘추천인 코드’ 칸에 46938989를 넣으세요 — 그래야 혜택이 적용됩니다.
OKX Wallet(논커스터디·멀티체인·내장 revoke)

Bybit

Bybit signup QR — scan to open Bybit (Cryptonakta referral)혜택받고 가입 →

코드: 5ZGKX#0
앱을 직접 설치해 가입하면, 가입 화면 ‘추천인 코드’ 칸에 5ZGKX#0를 넣으세요 — 그래야 혜택이 적용됩니다.
Bybit Web3 Wallet

제휴 고지: 일부 링크는 제휴 링크이며, 추가 비용 없이 수수료를 받을 수 있습니다. 투자 조언이 아닙니다.

13. 앞으로 안 당하려면 — 무제한 승인 피하기, 주기적 점검 습관

같은 일을 또 안 당하려면, 습관 몇 가지만 들이면 됩니다.

  • 무제한 승인 피하기. 디파이에서 승인할 때 한도를 ‘필요한 만큼(exact amount)’으로 직접 바꿀 수 있는 경우가 많습니다. 귀찮아도 그게 안전합니다.
  • 다 쓰고 나면 revoke. 어떤 dApp을 한 번 쓰고 끝낼 거라면, 쓰고 나서 그 승인을 취소해두세요.
  • 주기적 점검. 한 달에 한 번쯤 Revoke.cash 조회 모드로 내 지갑이 어떤 승인을 들고 있는지 살펴봅니다.
  • 출처 모를 링크 금지. 카카오 오픈채팅·텔레그램 단톡방의 ‘에어드랍·클레임’ 링크는 누르지 마세요. 진짜 에어드랍은 급하게 서명을 재촉하지 않습니다.
  • 큰 자산과 실험용 지갑 분리. 새 디파이를 시험할 땐 소액만 든 별도 지갑으로 하세요. 메인 지갑은 위험한 사이트에 절대 연결하지 않습니다.
참고로 드레인 피해는 2024년 약 4.94억 달러(피해 지갑 33만 개)에서
2025년 약 8,385만 달러로 크게 줄었습니다(Scam Sniffer 집계). 좋은 소식이긴 한데,
‘없어졌다’는 얘긴 절대 아니에요. 빈자리는 또 새 드레이너가 채우거든요. 방심은 금물입니다.

이 글은 암호화폐 지갑 기초·암호화폐 사기 유형과 함께 읽으면 좋고,
거래소 송금 사고는 출금 처리중·거래소 동결·입금 미반영 글에서
이어집니다.

자주 묻는 질문 (FAQ)

Q. 업비트·빗썸만 쓰는데 저도 토큰 승인 드레인 대상인가요?
원칙적으로 아닙니다. 업비트·빗썸 같은 거래소는 코인을 대신 보관(커스터디)하므로, ‘내 지갑이 내준 토큰 승인’이라는 개념 자체가 없습니다. 승인 드레인은 메타마스크·OKX 지갑 같은 자가수탁 지갑으로 디파이·에어드랍 사이트에 연결해 직접 서명한 경우에 생깁니다. 다만 거래소도 가짜 사이트 피싱·계정 탈취 같은 별개의 위험은 있으니, 무적이라는 뜻은 아닙니다.
Q. ‘연결해제’를 했는데 왜 계속 위험한가요?
연결해제(Disconnect)는 그 사이트가 내 지갑 주소를 들여다보는 걸 멈출 뿐, 이미 내준 토큰 승인(approval)은 그대로 살아 있기 때문입니다. 승인이 살아 있으면 공격 컨트랙트는 계속 내 토큰을 가져갈 수 있어요. 진짜로 막으려면 승인취소(revoke)를 해야 합니다.
Q. revoke를 하면 이미 빠져나간 코인을 되찾나요?
아니요. revoke는 ‘앞으로의 드레인’만 막습니다. 이미 온체인에서 실행돼 빠져나간 전송은 누구도 되돌릴 수 없습니다. 그래서 revoke는 빠를수록 좋지만, 이미 털린 자산의 복구 수단은 아닙니다.
Q. 시드(복구문구)가 노출됐을 수도 있으면 어떻게 하나요?
그 경우 revoke만으론 부족합니다. 공격자가 내 지갑 열쇠를 통째로 들고 있을 수 있어서, 승인을 취소해도 새로 만들어버릴 수 있거든요. 이럴 땐 완전히 새 시드로 만든 지갑으로 남은 자산을 전부 옮기는 것이 유일한 근본 해결책입니다. 옛 시드는 폐기하세요.
Q. 하드웨어 지갑(렛저·트레저)을 쓰면 안전한가요?
개인키 노출은 막아주지만 만능은 아닙니다. 당신이 직접 누른 악성 승인은 하드웨어 지갑도 그대로 서명합니다(맹목 서명). 즉 가짜 에어드랍 ‘확인’을 누르면 하드웨어든 소프트웨어든 똑같이 당합니다. 서명 내용을 항상 확인하는 습관이 더 중요합니다.
Q. ‘코인 복구해준다’는 업체에 맡겨도 되나요?
안 됩니다. 시드·개인키·선불 비용·원격접속을 요구하는 복구 서비스는 거의 다 2차 사기(드레이너)입니다. 진짜 수사기관도 거래소도 당신의 시드를 묻지 않습니다. 한국에서는 경찰청 사이버범죄 신고시스템(ECRM) 또는 112로 신고하는 것이 정식 경로입니다.
Q. revoke.cash 들어가려는데 진짜인지 어떻게 아나요?
사고 직후엔 똑같이 생긴 가짜 도메인이 SNS·카톡·텔레그램에 도배됩니다. 광고나 단톡방 링크로 들어가지 말고, 정확한 주소를 직접 입력하거나 평소에 북마크해둔 곳으로만 들어가세요. 그리고 어떤 revoke 도구든 시드 문구를 입력하라고 하면 그건 100% 가짜예요. 진짜는 시드 같은 거 절대 안 묻습니다.
Q. Binance 가입하는 법 — 단계별로 어떻게 하나요?
① Binance 공식 사이트나 앱에서 이메일·휴대폰으로 가입합니다. ② 신분증으로 본인인증(KYC)을 완료합니다. ③ 보안을 위해 인증 앱 2FA를 켭니다. ④ 가입 화면의 ‘추천인 코드’ 칸에 CRYPTONAKTA를 입력하면 현물 거래 수수료 상시 10% 할인을 받습니다. 원화 직접 입금이 어려우면 국내 거래소에서 코인을 사 전송하거나 P2P를 이용합니다.
Q. 비트코인은(는) 어디서 사고, 가입 혜택은 어떻게 받나요?
비트코인은(는) 바이낸스·바이비트·게이트·MEXC·OKX·쿠코인·비트겟 등 주요 거래소에서 모두 거래됩니다. 매수 방법은 — 거래소에 가입(KYC 완료) 후 거래소에서 비트코인을(를) 매수하면 됩니다. 팁: 가입 시 추천인 코드를 입력하면 일부 거래소에서 수수료 할인 등 혜택이 적용됩니다 — 예: 쿠코인(코드 CXEM4JP5) 평생 5% 수수료 할인, 게이트(코드 VFIWUQTAUQ) 평생 10% 수수료 할인. 바이낸스·바이비트·MEXC·OKX·비트겟 코드는 위 거래소 카드에 있습니다. 거주 지역 이용 가능 여부를 먼저 확인하시기 바랍니다. 투자 권유가 아닙니다.
이 글은 정보 제공용이며 투자·법률 조언이 아닙니다. 보안 사고 대응은 상황마다 다를 수 있으니, 시드 문구·개인키는 어떤 사이트·사람에게도 절대 입력하지 마세요. 신고는 경찰청 사이버범죄 신고시스템(ECRM) 또는 112를 이용하시고, ‘복구 보장’을 내세워 선불금·시드를 요구하는 업체는 사기입니다.

암호화폐 거래소 안전하게 고르는 법 보러가기

이어서 읽기 — 관련 가이드

Crypto deposit not credited: an empty balance dial with a question mark and a 0.00 not-credited status — the guide explains why a Binance or Bybit deposit has not arrived and how to find where it actually is — Cryptonakta코인 입금이 안 들어와요 — 어디서 막혔는지 1분 만에 진단하기
Token unlock and vesting — sell or hold guide cover — Cryptonakta내 코인 언락이 코앞인데, 팔까 말까?
Crypto withdrawal frozen and account locked: an exchange withdraw screen showing a 2,000 USDT withdrawal on hold with a red lock badge and a disabled confirm button while the account is under review, illustrating the guide on why exchanges freeze withdrawals and how to get your crypto back — Cryptonakta출금이 막혔다? ‘대기’인지 ‘동결’인지부터 갈라야 산다
The GENIUS Act, America's first federal stablecoin law: a $1 payment-stablecoin card showing 1:1 cash and Treasury backing and monthly attestation, but no FDIC insurance and no interest, illustrating whether a regulated stablecoin is safer than a bank deposit and what changes for USDC and USDT — signed July 18 2025, full effect January 18 2027 — Cryptonakta지니어스법(GENIUS Act) 완벽 정리: USDT·USDC, 한국 투자자한테 더 안전해진 걸까
편집 기준독립 암호화폐 에디토리얼 · 솔직하게, 과장 없이 · 투자 조언이 아닙니다.
🌐 한국어
English日本語EspañolPortuguêsالعربية繁體中文TürkçeTiếng Việt