How can I tell if a smart contract is legitimate before signing?

Always verify the contract address on Etherscan or your chain's block explorer, check that it matches the official project documentation (not just social media), and review the contract source code for suspicious functions. Look for transfers to unknown addresses, infinite approvals, or hidden drain mechanisms. If the code is unverified or you don't understand it, ask in legitimate community channels or use AI contract analysis tools, but never sign without understanding what permissions you're granting.

Can my funds be recovered after I sign a malicious smart contract?

Unfortunately, blockchain transactions are permanent and irreversible once confirmed. However, you should immediately revoke all token approvals using Revoke.cash, move any remaining funds to a secure wallet, and report the scam address to blockchain security platforms and the FBI's IC3. Some advanced recovery services can attempt to intercept pending transactions if you act within minutes, but success is extremely rare. Prevention is far more effective than recovery.

Why do legitimate-looking websites trick me into authorizing malicious contracts?

Scammers create pixel-perfect replicas of real DeFi platforms using stolen code and design assets, making them nearly indistinguishable from the original. They hide malicious smart contract code within seemingly normal transaction requests, exploiting the fact that most users don't read or understand the contract details they're authorizing. MetaMask and other wallets display warnings, but users often click through them without reading because legitimate transactions also generate these warnings.

What should I do immediately if I think I've signed a malicious contract?

First, stop using that wallet for any transactions. Immediately revoke all token approvals by visiting Revoke.cash or Etherscan's token approval page and disconnecting the malicious contract. Move any remaining funds to a secure wallet that has never been connected to the scam dApp. Do not sign any additional transactions from that wallet. Finally, document the scammer's wallet address and contract address, and report the incident to the FBI IC3 website and blockchain security platforms like Etherscan's abuse report feature.

How do I verify if a project announcement is real or a scam?

Treat all unsolicited announcements with extreme skepticism. Visit the official project website directly (type the URL yourself, don't click links) and check their primary verified social media accounts (marked with official blue checkmarks). Legitimate projects announce major updates on their official channels first, never through private messages or obscure links. If you're unsure, ask on the official verified Discord or Telegram, but be cautious of fake support accounts that may try to help you into a scam.

매우 높음 평균 피해액: $20,000 일반적 기간: 1-7 days

스마트 계약 소셜 엔지니어링 사기

스마트 계약 소셜 엔지니어링은 특히 중급 기술 지식을 가진 암호화폐 보유자를 겨냥한 빠르게 진화하는 위협입니다. 단순 피싱과 달리, 이 사기 수법은 블록체인 거래가 합법적으로 보인다는 점을 악용해 사용자가 자발적으로 사기범에게 디지털 자산 접근 권한을 부여하는 스마트 계약에 서명하도록 속입니다. 보통 1~7일에 걸쳐 진행되며, 피해자는 평균 2천만 원 상당의 손실을 입지만, 고도화된 표적은 훨씬 더 큰 금액을 잃기도 합니다. 사기범들은 AI 생성 콘텐츠, 가짜 프로젝트 웹사이트, 합법적인 디파이(DeFi) 프로토콜 사칭을 결합해 제한된 시간 동안 진행되는 토큰 에어드롭, 수익 농사(yield farming), NFT 민팅 이벤트에 대한 허위 긴급성을 조성합니다. 블록체인 보안 업체 Certik에 따르면, 2023년 스마트 계약 악용 및 소셜 엔지니어링 사건이 156% 증가했으며, 디파이 사기 전체 손실액은 14조 원을 넘었습니다. 이 위협이 특히 위험한 이유는 서명된 블록체인 거래가 영구적이고 되돌릴 수 없으며, 피해자가 자금이 탈취된 사실을 며칠 후에야 인지하는 경우가 많기 때문입니다.

주요 수법 식별 방법 자신을 보호하는 법 실제 사례 자주 묻는 질문 신고 채널

주요 수법

• Uniswap이나 OpenSea 같은 합법적인 디파이 플랫폼의 브랜드를 도용하고 거의 동일한 URL(예: 'uniswap-swap.net' 대신 'uniswap.org')을 사용해 정교한 복제 웹사이트를 만든 후, 인터페이스에 악성 스마트 계약 코드를 삽입합니다.
• 프로젝트 운영자를 사칭해 Discord나 Telegram에서 타깃 메시지를 보내 독점 토큰 할당이나 사전 판매 조기 접근권을 제공하며, 가짜 dApp을 통해 지갑 연결을 유도해 자동으로 계약 승인 서명을 발생시킵니다.
• AI로 제작한 유튜브 영상이나 트위터 스페이스에서 암호화폐 인플루언서의 딥페이크를 활용해 500% 이상의 APY 수익을 약속하는 가짜 수익 농사 전략을 홍보하고, 시청자를 몇 분 내에 사기 계약으로 유도합니다.
• 테스트 거래에서 소액($10~50)의 수익을 내는 것처럼 보이는 허니팟 계약을 사용해 피해자가 기회를 검증했다고 믿게 만든 뒤 실제 자금을 탈취하는 계약에 서명하도록 유도합니다.
• 합법적인 NFT 민팅 페이지처럼 보이는 곳에 악성 계약 코드를 삽입해 사용자가 가스비만 지불한다고 생각하며 토큰 사용 한도를 승인(종종 무제한으로 설정)하게 한 뒤, 수주 후 지갑을 비웁니다.
• 합법적인 프로젝트 소셜 미디어 계정을 해킹해 출금 또는 토큰 스왑 공지를 게시하고, 사기 계약으로 연결되는 링크를 공유해 커뮤니티의 신뢰를 악용하는 역소셜 엔지니어링을 수행합니다.

식별 방법

연결된 지갑에서 본인이 실행하지 않은 거래가 발생하거나, 승인한 기억이 없는 토큰 승인 알림을 받는 경우, 숨겨진 자금 탈취 기능이 포함된 계약이 실행된 신호입니다.
프로젝트 매니저를 사칭하는 사람이 공식 웹사이트 같은 공개 채널을 우회하는 독점 접근권을 제안하는 원치 않는 메시지를 통해 새로 발견된 '기회'가 도착한 경우.
웹사이트 URL에 약간의 오타가 있거나 합법적인 프로젝트 공식 사이트와 달리 비슷하지만 다른 도메인 확장자(.net 대신 .org)나 특이한 위치에 하이픈이 포함된 경우.
Etherscan 같은 블록체인 탐색기에서 계약을 확인할 때, 소스 코드가 검증되지 않았거나, 토큰 스왑만 한다고 주장하면서도 무제한 권한이 포함된 'transferFrom' 같은 의심스러운 함수가 있는 경우.
수학적으로 불가능하거나 시장 수익률을 훨씬 초과하는(400% 이상 APY) 수익을 약속하며, 몇 시간 내 만료된다는 극심한 시간 압박을 동반하는 경우.
무해하다고 생각했던 계약 상호작용 승인 직후 지갑 잔액이 예상치 못하게 감소하고, 블록체인 기록에 낯선 지갑 주소로 토큰이 전송된 내역이 있는 경우.

자신을 보호하는 법

공식 URL을 직접 브라우저에 입력하거나 즐겨찾기를 통해 디파이 플랫폼에 접속하고, 소셜 미디어, 이메일, 메시지의 링크는 출처가 신뢰할 만해도 절대 클릭하지 마십시오.
지갑을 dApp에 연결하거나 계약 상호작용에 서명하기 전에 Etherscan 또는 PolygonScan에서 계약 주소를 확인하고, 공식 프로젝트 문서와 일치하는지 검증하며, 알 수 없는 주소로의 전송이 있는지 소스 코드를 점검하세요.
Revoke.cash나 Etherscan의 토큰 승인 페이지 같은 도구를 사용해 토큰 사용 권한을 무제한이 아닌 특정 금액이나 거래 횟수로 제한하세요.
디파이 전용으로 별도의 암호화폐 지갑을 만들어 제한된 자금을 보관하고, 대부분의 자산은 하드웨어 지갑이나 dApp에 연결하지 않는 별도 저장 지갑에 안전하게 보관하세요.
MetaMask 보안 기능이나 Tenderly 같은 독립 서비스의 거래 시뮬레이션 도구를 활용해 서명 전에 스마트 계약이 수행할 작업을 미리 확인하고, 무단 토큰 전송 여부를 주의 깊게 살피세요.
중요 공지는 공식 프로젝트 채널(공식 웹사이트, 인증된 트위터 계정, 공식 Discord/Telegram)에서 반드시 확인하고, CertiK, Trail of Bits 같은 독립 블록체인 보안 사이트에서도 교차 검증하세요.

실제 사례

사용자가 Discord에서 OpenSea 운영자 배지를 단 계정(Discord 유료 인증 기능으로 구매)으로부터 주요 NFT 드롭 독점 조기 접근권을 제안하는 메시지를 받았습니다. 메시지에 포함된 웹사이트는 OpenSea와 시각적으로 동일했으며, 사용자는 MetaMask 지갑을 연결해 '자격 확인'을 했습니다. 연결 페이지에는 '가스비 관리'를 위한 토큰 승인 요청이 표시되었고, 사용자는 계약 내용을 읽지 않고 서명했습니다. 6시간 이내에 지갑에서 15 ETH(당시 약 2,700만 원)가 탈취되었는데, 계약에 무한 승인 조항이 포함되어 사기범이 모든 ERC-20 토큰을 인출할 수 있었습니다.

암호화폐 트레이더가 유명 디파이 인플루언서로 보이는(실제로는 생성 AI로 만든 딥페이크) 유튜브 영상을 발견했습니다. 영상에서는 알려지지 않은 프로토콜에서 30분 만에 8 ETH 수익을 내는 수익 농사 전략을 시연했습니다. 사기범은 단축 URL을 제공해 계약 인터페이스로 유도했습니다. 피해자가 2 ETH를 입금하고 약속된 8 ETH를 받자(사기범이 신뢰를 쌓기 위해 자금을 지원), '출금 수수료'라는 두 번째 계약 승인에 서명했습니다. 해당 계약에는 즉시 10 ETH와 여러 토큰을 사기범 지갑으로 전송하는 탈취 기능이 포함되어 총 3,200만 원 상당의 손실이 발생했습니다.

텔레그램 그룹 회원이 신규 디파이 거버넌스 토큰의 한정 에어드롭을 공지하며, 최초 100명에게 1만 토큰을 배포한다고 주장했습니다. 지갑 연결과 신원 확인 후 2시간 내 계약 상호작용 서명이 필요했습니다. 피해자는 제공된 웹사이트에 접속해 지갑을 연결하고 표준 토큰 청구 계약에 서명했으나, 계약에는 승인된 토큰을 감시하고 자동으로 사기범 주소로 전송하는 숨겨진 코드가 포함되어 있었습니다. 이후 3일간 피해자가 정상적인 디파이 활동을 하는 동안 여러 무단 전송이 발생해 총 1,850만 원 상당의 손실이 발생했습니다.

자주 묻는 질문

스마트 계약이 합법적인지 서명 전에 어떻게 확인할 수 있나요?

항상 Etherscan이나 해당 체인의 블록 탐색기에서 계약 주소를 확인하고, 공식 프로젝트 문서(단순 소셜 미디어가 아닌)와 일치하는지 검증하세요. 의심스러운 함수나 알 수 없는 주소로의 전송, 무한 승인, 숨겨진 탈취 메커니즘이 있는지 소스 코드를 검토하세요. 코드가 검증되지 않았거나 이해가 어려우면 합법적인 커뮤니티 채널에 문의하거나 AI 계약 분석 도구를 사용하되, 권한을 완전히 이해하지 못하면 절대 서명하지 마십시오.

악성 스마트 계약에 서명한 후 자금을 회복할 수 있나요?

불행히도 블록체인 거래는 한 번 확정되면 영구적이고 되돌릴 수 없습니다. 다만 즉시 Revoke.cash를 사용해 모든 토큰 승인을 취소하고, 남은 자금을 안전한 지갑으로 옮기며, 사기 주소를 블록체인 보안 플랫폼과 FBI IC3에 신고해야 합니다. 일부 고급 복구 서비스는 몇 분 내에 대기 중인 거래를 차단하려 시도할 수 있으나 성공률은 매우 낮습니다. 예방이 회복보다 훨씬 효과적입니다.

신고 채널 — 대한민국

귀하의 지역에서 이 사기를 신고할 수 있는 공식 채널.

경찰청 사이버범죄 신고시스템 (ECRM)

사이버 범죄

경찰청 사이버수사 신고. 보이스피싱·해킹·온라인사기 통합 접수.

182 방문 →

한국인터넷진흥원 KISA 118

개인정보 침해, 스팸, 해킹 등 종합상담 (24시간).

118 방문 →

금융감독원 1332

금융 감독

보이스피싱·금융사기 신고 및 피해구제 상담.

1332 방문 →

한국소비자원

소비자 보호

소비자 피해 상담 및 분쟁조정.

1372 방문 →

이 사기를 의심하시나요?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), 스마트 계약 소셜 엔지니어링 사기 is described at https://scamlens.org/ko/encyclopedia/smart-contract-social-engineering.

https://scamlens.org/ko/encyclopedia/smart-contract-social-engineering

여기서 시작

안전 검사

인텔리전스

도구 및 보고서

프리미엄 서비스

확장 프로그램 및 API