메타마스크 2FA 인증 메일 받았다면

제목: 메타마스크 2FA 인증 메일 받았다면 무조건 사기입니다 (절대 누르지 마세요)
요즘 메타마스크 이용자 대상으로 “2단계 인증을 활성화하라”는 메일이 많이 돌고 있어요. 결론부터 말하면 이 메일은 공식 안내가 아니라 지갑을 털기 위한 피싱 사기입니다.
메일 내용 특징은 이렇습니다.
Two-factor Authentication(2FA) 의무화, 보안 강화, 인증 안 하면 기능 제한, 코인 잃을 수 있음 같은 문구로 불안을 자극하고 Activate 2FA Now 같은 버튼을 누르게 만듭니다. 딱 전형적인 코인 지갑 해킹 수법이에요.
왜 100% 사기라고 할 수 있냐면 가장 중요한 이유가 있습니다.
메타마스크는 이메일 기반 계정 시스템이 아닙니다.
아이디, 비밀번호로 로그인하는 구조가 아니라 시드 구문(복구 문구)으로 지갑이 만들어지는 구조예요. 그래서 “계정 보안 업데이트” “2FA 활성화”를 이메일로 요구하는 것 자체가 구조적으로 말이 안 됩니다.
그리고 메타마스크에는 애초에 우리가 설정하는 일반적인 2FA 기능이 없습니다. 구글 OTP를 붙이고 이런 방식이 아니라, 지갑 보안은 기기 보안과 시드 구문 관리가 핵심이에요. 즉 “2FA 설정 안 하면 기능 제한” 이런 말은 성립 자체가 안 됩니다.
이 메일이 위험한 이유는 버튼을 누르는 순간 시작됩니다.
Activate 2FA 같은 버튼을 누르면 가짜 메타마스크 사이트로 이동하고, 거기서 지갑 복구라며 12개 또는 24개 시드 단어를 입력하라고 합니다. 여기 입력하는 순간, 그 사람은 내 지갑을 그대로 복사해가고 코인은 바로 빠져나갑니다. 블록체인은 되돌릴 수 없어서 사실상 복구 불가예요.
메일 속에서 자주 보이는 사기 신호도 정리해두면 좋습니다.
Dear Customer처럼 이름 없이 시작하는 인사
You may lose all your cryptocurrency 같은 공포 조장 문구
Deadline 날짜를 정해 급하게 만들기
기능 제한, 계정 정지 협박
이런 요소가 섞이면 거의 피싱이라고 보면 됩니다.
그럼 어떻게 해야 할까요?
이 메일은 그냥 삭제하면 됩니다. 링크 절대 누르지 마세요.
혹시 이미 링크를 눌렀어도 시드 구문을 입력하지 않았다면 아직 괜찮습니다. 브라우저 닫고 넘어가면 됩니다.
하지만 시드 구문을 한 단어라도 입력했다면 상황이 완전히 달라집니다. 즉시 새 지갑을 만들고, 기존 지갑의 자산을 가능한 빨리 새 지갑으로 옮겨야 합니다. 그리고 기존 지갑은 더 이상 안전하지 않습니다.
메타마스크, 코인 지갑 관련해서 이것 하나만 기억하면 됩니다.
어떤 사이트, 어떤 사람이든 시드 구문을 요구하면 무조건 사기입니다. 공식 서비스도 절대 물어보지 않습니다.
요즘 이런 메일 정말 많이 돌고 있으니, 혹시 주변에 코인 하는 분 있다면 꼭 알려주세요. 한 번 털리면 방법이 없습니다.