메타마스크를 열었는데 내가 보낸 적 없는 토큰이 들어와 있습니다. 처음엔 "어? 누가 보내줬나?" 싶지만, 이게 오히려 더 위험한 신호인 경우가 많습니다.
아무 행동도 하지 않았는데 지갑에 토큰이 쌓이는 건 당연히 이상한 일입니다. 이 글에서는 왜 위험한지, 어떻게 대응해야 하는지 실제 상황별로 정리합니다.
모르는 토큰이 들어왔다면 절대 팔거나 전송하려 하지 마세요. 토큰과 상호작용하는 순간 지갑 전체가 탈취될 수 있습니다. 일단 무시하고, 공식 컨트랙트 주소로 확인만 하세요.
지갑에서 모르는 토큰이 왔다 — 그냥 받으면 위험한 이유 AI 생성 이미지
상황 1: 갑자기 지갑에 생소한 토큰이 쌓여 있다
핵심: 이건 에어드롭이 아니라 '더스팅 공격(Dusting Attack)' 또는 '승인 유도 사기'일 가능성이 높습니다.
더스팅 공격은 아주 소량의 토큰을 불특정 지갑에 뿌리는 방식입니다. 공격자의 목적은 토큰 자체가 아니라, 받은 사람이 그 토큰을 어딘가로 전송하거나 팔려는 행동을 유도하는 것입니다.
토큰을 옮기거나 스왑하려는 순간, 악성 컨트랙트가 지갑 서명을 가로채거나 전체 자산에 대한 접근 권한을 요구하는 경우가 많습니다. 그냥 놔두는 것이 가장 안전한 첫 번째 행동입니다.
상황 2: 토큰 이름이 유명한 코인과 비슷하다
핵심: 이름이 같아도 컨트랙트 주소가 다르면 완전히 다른 토큰입니다.
사기꾼들은 'USDT', 'ETH', 'WBTC' 같은 이름을 그대로 복사한 가짜 토큰을 만들어 뿌립니다. 메타마스크에서 이름만 보면 진짜처럼 보이지만, 컨트랙트 주소가 전혀 다릅니다.
컨트랙트 주소 확인 방법
- 메타마스크에서 해당 토큰을 클릭
- 토큰 상세 화면에서 컨트랙트 주소 확인
- 이더스캔(etherscan.io) 또는 해당 코인 공식 사이트에서 정식 컨트랙트 주소와 대조
- 한 글자라도 다르면 가짜
이더스캔에서 토큰 이름을 검색해도 동일한 이름의 가짜 토큰이 여러 개 나올 수 있습니다. 반드시 공식 프로젝트 사이트에서 제공하는 컨트랙트 주소를 기준으로 확인하세요.
상황 3: 토큰을 팔거나 전송하려 했더니 이상한 사이트로 유도된다
핵심: 이미 함정에 들어선 겁니다. 지금 즉시 멈추세요.
일부 악성 토큰은 전송이나 스왑을 시도하는 순간 특정 웹사이트 방문을 유도하거나, 팝업 창에서 "이 토큰은 특별 클레임 절차가 필요합니다"라는 메시지를 띄웁니다. 클레임을 누르면 지갑 연결과 함께 전체 자산 접근 권한을 요구하는 트랜잭션이 실행됩니다.
유도된 사이트에 절대 지갑을 연결하지 마세요. 이미 연결했다면 즉시 메타마스크 설정 → 연결된 사이트 → 해당 사이트 연결 해제를 해야 합니다.
| 상황 | 올바른 행동 | 절대 하면 안 되는 것 |
|---|---|---|
| 모르는 토큰 수신 | 무시, 컨트랙트 주소만 확인 | 전송, 스왑 시도 |
| 사이트 연결 유도 | 즉시 창 닫기 | 지갑 연결, 서명 승인 |
| 이미 서명 승인한 경우 | revoke.cash에서 승인 취소 | 방치, 추가 트랜잭션 실행 |
상황 4: 이미 실수로 서명하거나 전송을 눌렀다
핵심: 지금 당장 승인 권한을 취소해야 합니다.
트랜잭션에 서명을 했다면 컨트랙트에 지갑 접근 권한이 부여됐을 수 있습니다. 이 경우 revoke.cash 사이트에서 해당 주소로 부여된 권한 목록을 확인하고 취소할 수 있습니다.
승인 취소 절차
- revoke.cash 접속 (공식 사이트 주소 직접 입력)
- 지갑 연결 후 현재 승인된 컨트랙트 목록 확인
- 모르는 컨트랙트가 있으면 즉시 Revoke(취소) 실행
- 취소 트랜잭션 가스비가 소액 발생하지만 반드시 처리
권한 취소 후에도 이미 빠져나간 자산은 복구되지 않는 경우가 많습니다. 평소에 정기적으로 승인 목록을 확인하는 습관이 중요합니다.
디센트 같은 하드웨어 지갑은 서명 자체를 기기에서 물리적으로 승인해야 합니다. 악성 토큰이 들어와도 기기에서 승인 버튼을 누르지 않으면 자산이 빠져나가지 않습니다. 단, 기기에서 실수로 승인했다면 동일하게 revoke.cash에서 권한을 취소해야 합니다.
진짜 주의할 점은 이겁니다
- 받은 것 자체는 내가 막을 수 없습니다. 지갑 주소는 공개되어 있으니까요. 문제는 받은 이후의 행동입니다.
- "에어드롭 받았나?"라는 기대감이 가장 위험한 심리입니다. 사기꾼은 이 심리를 노립니다.
- 토큰 이름이 유명한 코인과 같아도 컨트랙트 주소가 다르면 100% 다른 토큰입니다.
- 메타마스크에서 토큰 숨기기 기능으로 시야에서 치워두면 실수 클릭을 줄일 수 있습니다.
- 6개월에 한 번은 revoke.cash에서 승인 목록을 점검하는 습관을 들이세요.
모르는 토큰이 들어왔다면, 아무것도 하지 않는 것이 가장 안전한 첫 번째 행동입니다. 무시하고, 확인하고, 필요하면 승인만 취소하세요.
관련 글도 함께 읽어두면 실제 상황에서 당황하는 일이 줄어듭니다.