허니팟 암호화폐 사기란 무엇인가요? 이더리움 스마트 계약 가이드
작은 가게를 상상해 보세요. 가게 주인은 당신의 돈을 받고 영수증을 건네주며 미소를 짓습니다. 그리고는 조용히 출구를 잠급니다. 선반 위의 모든 물건은 이론적으로는 당신의 것입니다. 하지만 실제로는 아무것도 가지고 나갈 수 없습니다. 이것이 바로 허니팟 암호화폐 사기의 전형적인 모습입니다. 2025년에는 수만 개의 이러한 기만적인 시스템이 탈중앙화 거래소 곳곳에, 아무도 읽지 않는 악성 스마트 계약 코드 속에 숨어 언제든 온체인에서 작동할 수 있습니다.
이 용어를 처음 들어보셨을 수도 있습니다. 괜찮습니다. 일단 배우고 나면 어디에서나 알아볼 수 있을 겁니다. 예를 들어, 2,000명의 매수자와 단 한 명의 매도자 없이 어느 수요일에 400%나 급등하는 토큰, "이 돈 좀 옮겨줄 수 있어요?"라고 DM을 보내는 사람이 사용하는 지갑, 차트가 급등하기 10초 전에 유명인이 언급한 코인 등이 있습니다. 이런 것들 중 일부는 허니팟이고, 일부는 아닙니다. 이 가이드의 목표는 개발자 지식이 없더라도 허니팟을 구별하는 방법을 알려드리는 것입니다.
먼저 규모부터 살펴보겠습니다. 체인애널리시스의 2026년 암호화폐 범죄 보고서에 따르면 불법 암호화폐 주소를 통해 유입된 자금은 2025년에 1,540억 달러에 달하며, 이는 전년 대비 162% 증가한 수치입니다. FBI의 2025년 인터넷 범죄 보고서에서는 암호화폐 사기 규모를 113억 6,600만 달러로 추산했으며, 그중 72억 달러는 투자 사기입니다. 허니팟은 이러한 수치에서 상당한 비중을 차지합니다. 이더리움, 베이스, BNB 체인에서는 허니팟이 일상적으로 발생합니다. 그렇다면 허니팟 함정이 실제로 어디에 있는지, 그리고 어떤 기본적인 주의 사항을 지켜야 함정에 빠지지 않을 수 있는지 알아보겠습니다.
암호화폐에서 허니팟이란 무엇일까요? 초보자를 위한 설명
허니팟(honeypot)은 겉보기에는 정상적인 투자 기회처럼 보이지만, 실제로는 돈을 인출할 수 없도록 설계된 암호화폐 함정을 말합니다. 이 이름은 파리를 유인하기 위해 눈에 잘 띄는 곳에 달콤한 것을 놓아두는 데서 유래했습니다. 암호화폐 업계에서 이 달콤한 것은 보통 인기 있는 토큰, 공짜 자금이 있는 것처럼 보이는 지갑, 또는 과장된 수익을 약속하는 웹사이트 등입니다.
여기서 중요한 차이점을 말씀드리겠습니다. 허니팟은 해킹으로 코인을 훔치거나 외부에서 지갑의 자금을 빼돌리는 것이 아닙니다. 허니팟은 사용자가 직접 일정 금액의 암호화폐를 인출 경로가 없는 계약으로 전송하도록 하는 것입니다. 일단 자금이 도착하면 사기꾼이 그 자금을 관리하게 되며, 사용자는 관리할 수 없습니다.
전형적인 온체인 허니팟은 다음과 같습니다. 유니스왑이나 팬케이크스왑, 또는 토큰 거래의 탈중앙화를 약속하는 다른 탈중앙화 금융 플랫폼에 새로운 토큰이 등장합니다. 차트에는 가격이 상승하는 모습이 나타납니다. 사람들이 토큰을 구매합니다. 당신도 토큰을 구매합니다. 지갑에는 잔액이 표시됩니다. 이제 토큰을 팔려고 시도합니다. 거래가 취소되거나, 실패하거나, 100%의 높은 매도 수수료와 함께 완료되어 아무것도 남지 않습니다. 잔액은 그대로 있지만, 더 이상 움직일 수 없습니다. 당신은 가치 없는 토큰만 손에 쥐게 되고, 결코 열리지 않을 문을 기다리게 됩니다. 이러한 상황은 직접적인 공격이 발생하지 않았기 때문에 해킹으로 분류하기조차 어렵습니다.
허니팟이라는 용어의 유래
'허니팟'이라는 단어는 암호화폐보다 훨씬 오래되었습니다. 클리포드 스톨의 1989년 저서 《뻐꾸기의 알》(The Cuckoo's Egg) 에 처음 등장하죠. 스톨은 버클리 연구소의 시스템 관리자였는데, 75센트짜리 회계 오류를 발견하고 이를 파헤치려다 결국 KGB와 연계된 해커를 군사 네트워크를 통해 추적하게 되었습니다. 해커를 속이기 위해 그가 만들어 놓은 가짜 파일들이 바로 최초의 허니팟이었습니다. 선의의 기술이라고 할 수 있죠.
암호화폐 업계는 이 말을 이용해 대상을 바꿨습니다. 40년 후, 이제 그 꿀은 침입자가 아닌 일반 암호화폐 사용자들을 향하고 있습니다. 당신이 바로 그 파리입니다. 덫의 구조는 같지만, 도덕적 기준은 정반대입니다. 암호화폐 업계에서 누군가 "저 토큰은 허니팟이다"라고 말할 때는, 보통 아무도 읽지 않는 계약 로직 속에 숨겨진 제한 때문에 구매자에게 불리하게 코드가 조작되어 있다는 뜻입니다.
허니팟 사기 수법 단계별 설명
대부분의 허니팟 사기는 동일한 수법을 따릅니다. 한 번만 봐도 몇 분 안에 새로운 변형을 알아챌 수 있습니다.
사기꾼이 스마트 계약을 작성하는 것으로 시작됩니다. 겉보기에는 일반적인 토큰처럼 보입니다. 구매 기능도 정상적으로 작동하고, 이더리움, 베이스, BNB 체인, 솔라나 등에 배포할 수도 있습니다. 여기까지는 모두 정상입니다.
그다음은 함정입니다. 판매 로직 어딘가에 제한 사항이 있을 수 있습니다. 모든 신규 구매자를 조용히 추가하는 블랙리스트일 수도 있고, 100% 판매 수수료가 부과될 수도 있습니다. 소유자만 호출할 수 있는 함수일 수도 있고, 실제 전송을 제어하는 별도의 헬퍼 컨트랙트일 수도 있습니다. 구매자는 토큰을 보낼 수 있지만, 사기꾼만 토큰을 보낼 수 있습니다. 결과는 같지만 형태는 다양합니다.
다음은 본격적인 거래 준비 단계입니다. 사기꾼은 탈중앙화 거래소에 유동성 풀을 조성합니다. 토큰이 거래 가능한 것처럼 보이게 만든 후, 자신의 지갑과 하나 또는 두 개의 다른 지갑을 이용해 차트를 조작합니다. 마치 거래가 활발하게 이루어지는 것처럼 보이게 하는 것입니다. 양봉 캔들이 나타나고 거래량이 증가합니다. 텔레그램에는 "어떻게 구매하나요?"라는 질문이 쏟아지기 시작합니다.
그다음에는 소셜 미디어 플랫폼 전반에 걸친 홍보가 이어집니다. 때로는 유료 인플루언서를 활용하기도 하고, 유명 프로젝트를 사칭하기도 합니다. 때로는 뉴스 이벤트를 이용하기도 하는데, 2021년 넷플릭스의 오징어 게임 열풍을 타고 $SQUID가 인기를 끌었던 방식과 같습니다. 텔레그램, X, 틱톡 등 다양한 플랫폼을 활용합니다. 항상 긴박감을 강조합니다. "발행 가능한 지갑이 1,000개로 제한됩니다", "토큰 출시까지 2시간 남았습니다", "가격이 벌써 300% 올랐습니다"와 같은 메시지를 전달합니다.
마지막 단계는 항상 똑같습니다. 피해자는 매도를 시도합니다. 하지만 매도 거래는 취소되거나 실패하거나, 모든 자금이 사기꾼의 지갑으로 이체됩니다. 텔레그램 채팅방에서 이 사실을 알아챌 때쯤이면 사기꾼은 이미 자금을 모두 빼돌리거나 제3의 컨트랙트로 옮겨놓은 후입니다. 이렇게 실패한 컨트랙트는 온체인에 영원히 남아 함정의 흔적을 남깁니다.
실제로 만나게 될 허니팟 유형
허니팟은 초보자들이 예상하는 것보다 훨씬 다양한 종류가 있습니다. 2025년에 사람들이 접하게 될 주요 허니팟 유형은 다음과 같습니다.
- 스마트 계약의 매도 불가 함정. 계약은 화이트리스트에 등록되지 않은 주소에서의 모든 매도 거래를 거부합니다. 지갑에서 토큰을 확인할 수 있지만, 실제로 이동시킬 수는 없습니다.
- 숨겨진 블랙리스트 함정. 모든 신규 구매자는 구매 시점에 블랙리스트에 조용히 추가됩니다. 구매는 가능하지만, 이후 판매는 영구적으로 불가능해집니다.
- 100% 매도세 함정. 해당 계약은 매도 금액의 100%를 "재무" 지갑(사기꾼의 지갑)으로 보냅니다. 형식적으로는 매도한 것이지만, 실제로는 아무것도 받지 못합니다.
- 유동성 함정. 유동성 풀이 한쪽으로 치우쳐 있거나 배포자가 통제하는 경우, 매도 주문이 실패하는 이유는 매수 호가가 없거나 사기꾼이 마음대로 유동성을 끌어들이기 때문입니다.
- 소유자 전용 기능 함정. 숨겨진 소유자 전용 기능을 통해 사기꾼은 거래를 일시 중지하거나, 무제한으로 물량을 발행하거나, 출시 후 세금을 변경할 수 있습니다. 심지어 "공정한 출시"조차도 한 시간 만에 함정으로 변질될 수 있습니다.
- 지갑/"무료 ETH" 함정. 토큰이 전혀 아닙니다. 사기꾼이 온체인에 토큰이 보이는 지갑 주소를 게시하고 시드 구문을 공유합니다. 토큰을 인출하려고 하면 가스 비용이 요구됩니다. 가스를 보내면 스위퍼 봇이 즉시 가스를 가져가 버립니다. 결국 아무것도 받지 못합니다. MetaMask는 이러한 유형의 사기 수법에 대해 특별히 경고하고 있습니다.
- 가짜 이더스캔 "지원" 함정입니다. 누군가가 당신의 이더스캔 댓글에 도움을 주겠다고 답글을 단 후, "반전" 컨트랙트로 소량의 ETH를 보내라고 합니다. 이 컨트랙트는 당신의 ETH를 가로채는 또 다른 함정입니다.
Solidus Labs는 외부 계약, 유동성 블록, 블록리스트 변형을 포함하여 온체인 허니팟 계약만 98,442개로 분류했습니다. Token Sniffer는 15개 체인에서 4,790만 개 이상의 토큰을 추적하고 그중 600만 개 이상을 사기로 표시했습니다. 그 수는 결코 적지 않습니다.
스마트 계약 허니팟과 판매세 사기
다양한 유형 중에서도 이더리움 계열 체인의 스마트 계약 허니팟이 가장 흔합니다. 이더리움 블록체인 상의 스마트 계약과 그 복제본들이 이러한 함정의 대부분을 구성하며, 이러한 패턴은 "코드가 공개되어 있다"는 사실이 많은 초보자들이 생각하는 것처럼 안전장치가 되지 못하는 이유를 보여줍니다.
허니팟 스마트 계약은 겉보기에는 평범해 보입니다. 표준 OpenZeppelin ERC-20 라이브러리를 상속받고, 이름, 심볼, 공급량을 가지고 있습니다. Etherscan이나 BscScan 같은 블록 탐색기에서 스마트 계약 코드를 살펴보면 수백 줄의 코드가 보일 수 있습니다. 대부분은 무해해 보입니다. 함정은 대개 `_transfer` 함수 내부나, 메인 토큰이 헬퍼 주소를 통해 호출하는 별도의 의심스러운 스마트 모듈에 숨어 있습니다.
가장 교묘한 방법은 매도세 트릭을 이용하는 것입니다. 계약에는 `sellTax`라는 변수가 있습니다. 출시 당시에는 일반적인 값인 5%로 설정되어 있습니다. 출시 10분 후, 소유자는 `setSellTax(100)`을 호출합니다. 이제 모든 매도 거래는 모든 토큰을 재무부로 보냅니다. 매수 거래는 다른 함수를 통해 처리되므로 여전히 정상적으로 작동합니다. 코드를 제대로 이해하지 못하는 사람이라면 겉으로 보기에는 다른 Web3 ERC-20 토큰처럼 보이기 때문에 이 함정을 알아차리지 못할 수 있습니다.
초보자가 스마트 계약 코드를 직접 읽는 것이 신뢰할 수 없는 이유가 바로 이것입니다. 시뮬레이션(테스트 매도를 실행하고 성공 여부를 확인하는 것)을 하거나, 이미 이러한 패턴을 파악하고 있는 도구를 사용해야 합니다. Honeypot.is, Token Sniffer, De.Fi Scanner, QuillCheck, GoPlus Security는 모두 이러한 분석 기능을 제공합니다. 하지만 어느 것도 완벽하지는 않습니다. 2025년의 허니팟 개발자들은 정적 스캐너를 무력화하기 위해 업그레이드 가능한 프록시 계약과 시간 지연 트리거를 사용하고 있으므로, 새로운 계약을 악용하려는 시도에는 여러 도구를 활용해야 합니다.
지갑 허니팟: 시드 구문 함정
지갑 버전은 토큰 계약과 전혀 관련이 없으므로 별도로 설명할 필요가 있습니다. MetaMask, Trezor, Ledger 모두 이에 대해 공식 경고를 발표했습니다.
상황은 겉보기엔 순진해 보입니다. 텔레그램, 디스코드, 트위터에서 만난 낯선 사람이 암호화폐를 처음 접한다며 지갑에서 자금을 인출하는 방법을 모르겠다고 합니다. 시드 구문(정말입니다!)을 공유하고 지갑에 토큰은 있지만 가스가 없어서 "잠겨 있다"고 설명합니다. 그리고 도움을 요청하며 지갑에 있는 돈을 나눠주겠다고 제안합니다.
MetaMask에 지갑을 불러옵니다. 실제 잔액이 표시됩니다. USDT와 몇 가지 다른 토큰이 있을 수 있습니다. USDT를 자신에게 보내려고 시도합니다. 하지만 지갑에 가스 비용으로 사용할 ETH가 전혀 없기 때문에 보낼 수 없습니다. 그래서 자신의 지갑에서 약간의 ETH를 보내 거래 수수료를 충당합니다.
이더리움(ETH)이 도착하는 순간, 해당 주소를 감시하도록 프로그래밍된 스위퍼 봇이 들어오는 모든 웨이(wei)를 사기꾼의 실제 지갑으로 옮깁니다. 당신의 가스 비용은 날아갑니다. 당신이 구해주려고 했던 토큰은 애초에 되찾을 수 없었습니다. 계약 제한으로 잠겨 있거나, 주소가 이미 사기로 의심되어 테더(Tether)에 의해 USDT가 동결되었을 가능성이 높습니다.
이런 사기를 막는 규칙은 아주 간단합니다. 다른 사람이 알려준 시드 구문을 가진 지갑은 절대 믿지 마세요. 만약 그 지갑의 진짜 주인이라면 직접 자금을 보내줄 겁니다. 이 함정은 사기꾼들이 초보 사용자들의 가스비를 훔치는 가장 쉬운 방법 중 하나이며, "공짜 돈"이 진짜 공짜라고 생각할 만큼 초보인 사람들을 노린 것입니다.
유명한 함정수사: SQUID, HAWK, LIBRA
실제 사례를 통해 이를 더 잘 이해할 수 있습니다.
SQUID(2021년 11월 1일). 이는 전형적인 초보자용 사례입니다. 이 토큰은 넷플릭스의 ' Squid Game' 의 인기에 힘입어 급등했습니다. 매수는 성공적이었고, 가격은 폭발적으로 치솟았습니다. 약 0.01달러에서 2,861달러까지 치솟았는데, 그 급등세는 워싱턴 포스트와 BBC까지 보도할 정도였습니다. 보유자들은 매도하려 했지만 실패했습니다. 그러자 개발자들은 유동성 풀에서 약 338만 달러를 빼돌리고 사라졌습니다. 토큰 가격은 5분도 채 안 되어 99.99% 이상 폭락했습니다. 순전히 미끼 상품이자 먹튀 사기였습니다.
HAWK(2024년 12월 4일). 전형적인 스마트 계약 허니팟은 아니지만, 비슷한 개념으로 볼 수 있습니다. Haliey "Hawk Tuah" Welch가 출시한 이 토큰은 출시 당일 시가총액 5억 달러를 돌파했습니다. Halborn의 온체인 분석에 따르면 전체 공급량의 96%가 내부자 지갑에 보관되어 있었습니다. 내부자들이 대량 매도를 시작하자 가격은 당일 95% 이상 폭락했습니다. 구매자들은 거래는 되지만 사실상 가치가 없는 토큰만 보유하게 되었습니다.
리브라(2025년 2월 14일). 아르헨티나 대통령 하비에르 밀레이는 출시 직후 해당 토큰에 대한 게시물을 올렸습니다. 가격은 40분 만에 거의 0에서 5.20달러까지 급등했습니다. 내부자들은 전체 공급량의 70%를 보유하고 있었고, 대량 매수에 뛰어들면서 약 2억 5,100만 달러의 손실이 발생했습니다. 이 사건은 현재 연방 수사로 진행 중이며, 정치적 지지, 빠른 유동성 공급, 내부자 공급이 결합될 때 맞춤형 계약 함정 없이도 어떻게 위험한 결과를 초래할 수 있는지 보여주는 가장 명확한 사례 중 하나입니다.
데챗(2024년 2월 26일). 한 조사관은 데챗의 해킹된 소셜 채널을 이용해 악성 링크를 유포한 단일 공격자가 연결된 9개의 허니팟 계약을 통해 약 320만 달러를 훔친 사실을 추적했습니다. 이는 실제 프로젝트라 하더라도 계정이 해킹당하면 의도치 않게 허니팟을 홍보할 수 있다는 점을 다시 한번 상기시켜 줍니다.
허니팟, 러그풀, 기타 암호화폐 사기
초보자들은 이 용어들을 종종 혼용해서 사용합니다. 하지만 이들은 모두 다른 종류의 함정입니다. 암호화폐 허니팟 사기는 특히 출금 경로를 차단하는 데 초점을 맞추고 있으며, 다른 유형의 사기는 작동 방식이 다르지만 모두 긴박감과 과장된 홍보라는 기본적인 감정적 요소를 이용합니다.
| 사기 유형 | 무슨 일이 일어나는가 | 구매 전에 확인할 수 있나요? |
|---|---|---|
| 허니팟(스마트 계약) | 컨트랙트 블록은 처음부터 판매 전략을 염두에 두고 설계되었습니다. | 네, 판매를 시뮬레이션해 보세요. |
| 러그 당김 | 팀이 자금을 모으거나 초기 유동성을 확보한 후 나중에 철회하는 경우 | 부분적으로는 LP 잠금 상태와 팀 투명성을 주시하십시오. |
| 펌프 앤 덤프 | 과열된 분위기 이후 내부 투자자들이 소매 부문 주식을 대량 매도했습니다. | 난이도가 높음, 온체인 공급망 분석 필요 |
| 피싱 | 악성 링크는 사용자의 개인 키 또는 시드 구문을 탈취합니다. | 예, URL 검사, 하드웨어 지갑, 시드 공유 없음. |
| 가짜 거래 | 웹사이트는 입금은 받지만 출금은 차단합니다. | 예, 등록된 법인, 도메인 생성일, 커뮤니티 리뷰 |
| 지갑 청소부 | 사기꾼이 특정 문구를 알려주면, 당신이 예치한 가스는 도난당합니다. | 네, 다른 사람이 제공한 시드 구문을 사용하는 지갑은 절대 사용하지 마세요. |
허니팟은 함정이 코드에 미리 심어져 있어 사용자가 접근하기도 전에 피해를 입힐 수 있는 시스템입니다. 반면 러그풀 공격은 사후에 팀의 조치가 필요합니다. 허니팟은 자동으로 작동하기 때문에 확장성이 뛰어나며, 일단 배포되면 사기꾼은 거의 나타나지 않아도 됩니다.
밈 코인이 등장하면서 허니팟 사기 수법이 바뀌었습니다.
밈 코인, 특히 솔라나(Solana) 코인은 허니팟과 유사한 수법이 급증하는 곳입니다. 솔리더스 랩(Solidus Labs)의 2024년 1월부터 2025년 3월까지의 보고서에 따르면, 펌프펀(Pump.fun) 토큰의 98.6%가 펌프 앤 덤프(pump-and-dump) 또는 러그 풀(rug pull) 사기로 판명되었습니다. 펌프펀은 1,190만 개 이상의 토큰을 발행했으며, 특정 날짜에 발행되는 모든 솔라나 토큰의 약 71%를 차지합니다. 이러한 사기는 고전적인 허니팟과 동일한 사회 공학적 기법을 밈 코인 사용자들을 대상으로 재포장하여 사용합니다. '놓칠까 봐 두려워하는 심리(FOMO)'가 나머지 과정을 이끌어갑니다.
이유는 구조적인 문제입니다. Pump.fun은 거의 자본 없이 누구나 몇 초 만에 토큰을 생성할 수 있도록 해줍니다. 토큰을 발행하고, 처음 몇백 달러를 직접 투자한 다음, X 플랫폼에서 홍보하고 기다립니다. 구매자가 나타나면 대량 매도하고, 나타나지 않으면 토큰을 버리고 다른 것으로 넘어갑니다. 이러한 과정이 수백만 개의 지갑에 걸쳐 반복되면, 새로운 밈 코인을 사는 것은 투자라기보다는 슬롯머신에서 돈을 뽑는 것에 더 가까운 생태계가 만들어집니다.
모든 밈 코인이 순전히 "팔리지 않는" 의미의 허니팟은 아닙니다. 하지만 비용 구조상 품질보다는 거래량에 보상이 주어집니다. 솔리더스 랩(Solidus Labs)의 연구에 따르면 분석 대상인 388,000개의 레이디움(Raydium) 유동성 풀 중 93%가 소프트 러그풀(soft rug-pull) 현상을 보였습니다. 거래 이력이 있는 약 7백만 개의 솔라나(Solana) 밈 토큰 중 1,000달러 이상의 유동성을 유지한 것은 약 97,000개에 불과합니다. 이러한 수치는 위험에 대한 기존의 가정을 재고하게 만듭니다.
스마트 계약 감사 및 허니팟 탐지
스마트 계약 감사는 마치 회의실에서 지루한 어른과 같습니다. Halborn, CertiK, PeckShield, Trail of Bits, SlowMist와 같은 전문 업체에서 수행하는 제대로 된 스마트 계약 감사는 코드를 한 줄씩 읽고, 예외 상황을 시뮬레이션하여 계약을 인증(또는 불합격)합니다. 감사가 안전을 보장하는 것은 아니지만, 이러한 계약 감사를 통해 가장 조잡한 허니팟을 신속하게 걸러낼 수 있습니다.
새로운 토큰을 처음 접하는 초보자에게 중요한 질문은 "감사를 받았는가?"가 아니라 "평판 좋은 회사에서 감사를 받았고, 그 감사가 현재 계약 버전을 대상으로 진행되었는가?"입니다. 수상쩍은 토큰들은 마케팅에 "감사"를 언급하며 이름도 생소한 회사의 PDF 파일이나 이전 버전의 코드에 대한 감사 자료를 링크하는 경우가 많습니다.
감사 기록이 없는 토큰(대부분의 토큰이 이에 해당함)의 경우, 차선책은 자동화된 허니팟 탐지입니다. 알아두면 유용한 무료 도구는 다음과 같습니다.
| 도구 | 이 제품의 기능은 무엇인가요? | 작업 중 |
|---|---|---|
| 허니팟입니다. | 매수 및 매도를 시뮬레이션하고, 매도가 되돌려지면 표시합니다. | 이더리움, BNB 체인, 베이스 |
| 토큰 스니퍼 | 코드 패턴 스캔 + 소유자 함수 플래그 + 위험 점수 | 15개 체인, 4790만 토큰 모니터링 중 |
| De.Fi 스캐너 | 정적 분석 + 시뮬레이션 | 이더리움, BSC, 폴리곤, 베이스, 솔라나 |
| 퀼체크 | 코드 검토 및 실시간 알림 | 이더리움, BSC, 폴리곤, Arbitrum |
| GoPlus 보안 API | 연금술에서 사용, 1인치, 지갑; 라이브 허니팟 플래그 | 멀티체인 |
| 이더스캔 댓글 | Etherscan이나 BscScan 사용자들과 같은 이전 피해자들의 커뮤니티 경고 | 이더리움, 베이스, BSC |
토큰을 검사할 때는 항상 최소 두 가지 도구를 사용해야 하며, 한 가지 도구만으로는 충분하지 않습니다. 어떤 스캐너도 모든 변종을 탐지할 수 없으며, 허니팟 제작자는 지난달에 유행했던 검사 도구보다 앞서 나가기 위해 끊임없이 전략을 수정합니다.
함정수사를 암시하는 위험 신호들
대부분의 허니팟을 알아차리려면 Solidity를 읽을 필요는 없습니다. 구매하기 전에 주의해야 할 경고 신호는 다음과 같습니다.
- 해당 토큰은 생성된 지 24시간도 채 되지 않았으며 보유자 수도 500명 미만입니다. 초기 토큰은 사기성 거래에 취약한 경우가 많습니다. 토큰을 구매하기 전에 이더스캔에서 거래 내역을 확인하는 것은 이러한 사기를 잡아내는 기본적인 습관입니다.
- 보유자 목록을 보면 단일 지갑이 전체 공급량의 20% 이상을 소유하거나, 두세 개의 지갑이 합쳐서 60% 이상을 소유하고 있는 것을 알 수 있습니다. 이는 시세 조작(펌프 앤 덤프)의 전형적인 특징입니다.
- 유동성이 묶여 있지 않거나, 묶여 있는 기간이 몇 달이 아닌 며칠 내로 만료됩니다. 유니크립트(Unicrypt) 또는 팀 파이낸스(Team Finance)에서 확인해 보세요.
- "금요일까지 100배 수익 보장", "다음 주 10배 수익 보장", "단 1,000개 지갑만 발행 가능"과 같이 믿기 어려울 정도로 높은 수익률을 약속하는 광고는 사기일 가능성이 높습니다. 사기꾼들은 긴박감을 조성하는 데 혈안이 되어 있습니다.
- 검증 가능한 팀이나 정당성 신호가 없습니다. 익명의 디스코드 관리자, 익명의 배포자, 링크드인 프로필도 없습니다. 무조건 사기는 아니지만, 심각하게 고려해 볼 만합니다.
- 계약에는 타임락 없이 소유자만 사용할 수 있는 "발행", "일시 중지", "블랙리스트" 또는 "수수료 설정" 기능이 포함되어 있습니다. 악의적인 의도가 없더라도 키 하나가 유출되면 나중에 구매자를 속일 수 있습니다.
- 텔레그램 채널에는 수천 명의 회원이 있지만 대화는 마치 미리 짜여진 각본처럼 느껴집니다. 봇 팜은 계정을 통해 동일한 약속을 반복하는 경우가 많습니다. 반복되는 표현을 주의 깊게 살펴보세요.
- 토큰 차트를 보면 매수는 많지만 매도는 거의 없는 것을 알 수 있습니다. 실제 토큰은 매수와 매도가 모두 존재합니다. 매도가 없는 것은 사기성 토큰임을 나타내는 가장 명확한 지표 중 하나입니다. 사기성 토큰은 의도적으로 사용자의 매도를 차단하도록 설계되어 있기 때문입니다.
이러한 경고 신호는 잠재적인 허니팟 토큰을 식별하고 새로운 코인이 유행할 때 피해자가 되는 것을 방지하는 데 도움이 됩니다.
대부분의 구매자들이 허니팟에 투자했다가 손해를 보는 이유는 사기 징후가 눈에 띄지 않아서가 아니라, FOMO(놓칠까 봐 두려워하는 심리) 때문에 직감을 무시했기 때문입니다. 사기꾼만 팔 수 있고 다른 사람들은 팔 수 없을 때, 빠른 결정은 항상 사기꾼에게 향하게 마련입니다.
암호화폐 관련 함정에 빠졌을 경우: 어떻게 해야 할까요?
솔직히 말씀드리자면, 복구 가능성은 매우 낮습니다. 순수 스마트 계약 허니팟의 경우, 이러한 사기는 정상적인 환불 절차를 완전히 차단하도록 설계되었기 때문에 복구는 사실상 불가능합니다. 더 광범위한 러그풀 사기의 경우, SlowMist의 2024년 보고서에 따르면 전체 보안 사고에서 발생한 20억 1,300만 달러 중 단 8.25%만이 복구되었습니다. 순수 허니팟의 복구율은 이보다도 훨씬 낮습니다.
하지만, 취할 만한 실질적인 조치들이 있습니다.
계약과의 모든 상호 작용을 중단하십시오. 토큰을 "잠금 해제"한다고 주장하는 거래를 포함하여 계약과 관련된 어떠한 거래에도 더 이상 서명하지 마십시오. 그러한 거래는 거의 대부분 후속 사기입니다.
부여했던 모든 토큰 승인을 취소하세요. Revoke.cash 또는 Etherscan의 토큰 승인 검사기를 사용하여 지갑에서 토큰을 사용할 수 있는 권한이 아직 남아 있는 계약을 찾아 취소하십시오.
모든 것을 기록하세요. 계약 주소, 거래 해시, 토큰을 찾은 웹사이트 또는 텔레그램 주소, 받은 메시지 등을 저장해 두세요. 스크린샷도 중요합니다.
신고하세요. 미국에서는 FBI IC3가 암호화폐 사기 신고를 접수하고, FTC는 reportfraud.ftc.gov에서 사기 신고를 접수합니다. 영국에서는 Action Fraud가 신고 접수처입니다. 각 국가마다 자체적인 사기 신고 기관이 있습니다. 또한, 다른 사용자들이 경고를 볼 수 있도록 Etherscan이나 BscScan에 해당 토큰을 신고하고, Token Sniffer에 아직 등록되어 있지 않다면 Token Sniffer에도 신고하세요. 대부분의 암호화폐 거래소는 요청 시 도난당한 자금이 해당 플랫폼으로 이동된 경우 주소를 표시해 줍니다.
텔레그램, 트위터, 인스타그램 또는 이메일로 연락하는 복구 서비스 업체는 절대 고용하지 마세요. 이는 사기 수법이며 그 규모가 상당합니다. 합법적인 복구는 법 집행 기관이나 전문 블록체인 포렌식 업체(Chainalysis, TRM Labs, Elliptic 등)에서 진행하며, 이러한 업체들은 DM으로 광고를 하지 않습니다.
계약 주소를 공개적으로 공유하세요. 토큰이 허니팟으로 확인된 경우, 해당 정보를 공개하면 다음 사람이 피해를 보는 것을 방지할 수 있습니다.
