DeFi 프로토콜에서 토큰을 거래할 때, 지갑에 천문학적인 기본 금액의 승인 요청이 표시됩니다. 이것이 "무제한 승인"입니다. 많은 사용자가 아무 생각 없이 확인하지만, 뒤에는 엄청난 보안 위험이 숨어있습니다.
무제한 승인이란?
ERC-20 표준에서 DEX 거래는 스마트 컨트랙트에 토큰 사용을 "승인"해야 합니다. 제한 승인: 필요한 금액만. 무제한 승인: 지갑 내 전체 잔액(2^256-1).
위험
- 컨트랙트 취약점 — 해커가 승인을 이용해 토큰 탈취
- 악의적 프로젝트 — 백도어를 통한 토큰 도난(러그풀)
- 컨트랙트 업그레이드 — 업데이트 후 악성 코드 포함 가능
- 만료 없음 — 온체인 승인은 영구 유효
MetaMask에서 맞춤 금액 설정
승인 요청 시 "편집" 클릭, 실제 필요한 금액으로 변경.
승인 확인 및 취소
도구: Revoke.cash, Etherscan Token Approvals, DeBank
단계: Revoke.cash 연결 > 무제한 승인 필터 > Revoke 클릭 > 가스비 지불
대안
Permit2, EIP-2612 Permit, Account Abstraction.
보안
- 무제한 승인을 맹목적으로 수락하지 않기
- 감사받은 유명 프로토콜만 승인
- 사용 후 취소
- 월간 정리
- 별도 지갑 사용
- 보안 알림 모니터링
Binance는 플랫폼 수준의 보안을 제공합니다. Binance 앱, iOS: iOS 가이드.
무제한 승인과 악성 서명의 차이?
승인은 온체인이며 취소 가능. 악성 서명은 오프체인이며 탐지 어려움.
매번 금액 설정이 번거롭지 않나?
고가치 토큰에는 작은 비용으로 큰 안전. 저가스 체인에서는 거의 무료.
아직 피해가 없어도 취소해야?
네. 위험이 아직 트리거되지 않았을 뿐입니다.
하드웨어 지갑으로 방지 가능?
완전히는 불가능. 개인키는 보호하지만 승인된 컨트랙트의 토큰 이동은 막을 수 없습니다.