fix: API 서버 코드 리뷰 버그 15건 수정 (CRITICAL 2, HIGH 2, MEDIUM 11)

CRITICAL:
- graceful shutdown 레이스 수정 — Listen을 goroutine으로 이동
- Register 레이스 컨디션 — sentinel error + MySQL duplicate key 처리

HIGH:
- 멱등성 키에 method+path 포함 — 엔드포인트 간 캐시 충돌 방지
- 입장 토큰 생성 실패 시 방/슬롯 롤백 추가

MEDIUM:
- RequestEntry 슬롯 없음 시 503 반환
- chain ExportWallet/GetWalletInfo/GrantReward 에러 처리 개선
- resolveUsername 에러 타입 구분 (duplicate key vs 기타)
- 공지사항 길이 검증 byte→rune (한국어 256자 허용)
- Level 검증 범위 MaxLevel(50)로 통일
- admin 자기 강등 방지
- CORS ExposeHeaders 추가
- MySQL DSN loc=Local→loc=UTC
- hashGameExeFromZip 100MB 초과 절단 감지

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

internal/chain/handler.go

@@ -11,6 +11,7 @@ import (
 
 	"github.com/gofiber/fiber/v2"
 	"github.com/tolelom/tolchain/core"
+	"gorm.io/gorm"
 )
 
 const maxLimit = 200
@@ -116,7 +117,10 @@ func (h *Handler) GetWalletInfo(c *fiber.Ctx) error {
 	}
 	w, err := h.svc.GetWallet(userID)
 	if err != nil {
-		return apperror.NotFound("지갑을 찾을 수 없습니다")
+		if errors.Is(err, gorm.ErrRecordNotFound) {
+			return apperror.NotFound("지갑을 찾을 수 없습니다")
+		}
+		return apperror.Internal("지갑 조회에 실패했습니다")
 	}
 	return c.JSON(fiber.Map{
 		"address":   w.Address,
@@ -579,6 +583,9 @@ func (h *Handler) GrantReward(c *fiber.Ctx) error {
 	if !validID(req.RecipientPubKey) {
 		return apperror.BadRequest("recipientPubKey는 필수입니다")
 	}
+	if req.TokenAmount == 0 && len(req.Assets) == 0 {
+		return apperror.BadRequest("tokenAmount 또는 assets가 필요합니다")
+	}
 	result, err := h.svc.GrantReward(req.RecipientPubKey, req.TokenAmount, req.Assets)
 	if err != nil {
 		return chainError("보상 지급에 실패했습니다", err)
@@ -644,12 +651,12 @@ func (h *Handler) ExportWallet(c *fiber.Ctx) error {
 	}
 	var req exportRequest
 	if err := c.BodyParser(&req); err != nil || req.Password == "" {
-		return c.Status(400).JSON(fiber.Map{"error": "password is required"})
+		return apperror.BadRequest("password는 필수입니다")
 	}
 	slog.Warn("wallet export requested", "userID", userID, "ip", c.IP())
 	privKeyHex, err := h.svc.ExportPrivKey(userID, req.Password)
 	if err != nil {
-		return c.Status(401).JSON(fiber.Map{"error": "invalid password"})
+		return apperror.Unauthorized("비밀번호가 올바르지 않습니다")
 	}
 	return c.JSON(fiber.Map{"privateKey": privKeyHex})
 }

internal/chain/service.go

@@ -14,6 +14,8 @@ import (
 	"sync"
 	"time"
 
+	"a301_server/pkg/apperror"
+
 	"github.com/tolelom/tolchain/core"
 	tocrypto "github.com/tolelom/tolchain/crypto"
 	"github.com/tolelom/tolchain/wallet"
@@ -69,12 +71,17 @@ func (s *Service) resolveUsername(username string) (string, error) {
 	uw, err := s.repo.FindByUserID(userID)
 	if err != nil {
 		// 지갑이 없으면 자동 생성 시도
-		uw, err = s.CreateWallet(userID)
-		if err != nil {
-			// unique constraint 위반 — 다른 고루틴이 먼저 생성 완료
-			uw, err = s.repo.FindByUserID(userID)
-			if err != nil {
-				return "", fmt.Errorf("wallet auto-creation failed: %w", err)
+		var createErr error
+		uw, createErr = s.CreateWallet(userID)
+		if createErr != nil {
+			if apperror.IsDuplicateEntry(createErr) {
+				// unique constraint 위반 — 다른 고루틴이 먼저 생성 완료
+				uw, err = s.repo.FindByUserID(userID)
+				if err != nil {
+					return "", fmt.Errorf("wallet auto-creation failed: %w", err)
+				}
+			} else {
+				return "", fmt.Errorf("wallet auto-creation failed: %w", createErr)
 			}
 		} else {
 			log.Printf("INFO: auto-created wallet for userID=%d (username=%s)", userID, username)