KYC 없는 스왑 거래소: Tornado Cash 외의 머지 코인 수단
일반적으로 알려진 바와 같이 해커들은 스마트 계약을 공격해 큰 수익을 얻은 후 대부분 그 자금을 Tornado Cash에 입금하여 믹싱(mixing) 처리를 진행한다. 입금 주소와 출금 주소 간의 연결 고리를 끊음으로써 해커는 자금을 세탁한 후 향후 가상화폐를 현금으로 전환할 수 있게 된다. Tornado Cash 사용자 입장에서 보면, 믹싱 풀 내 유동성(liquidity)이 자금의 이동 경로를 얼마나 잘 은닉할 수 있는지를 결정하며, 특히 자금 규모가 매우 클 때 더욱 중요하다. 2022년 8월 Tornado Cash가 제재를 받고 창시자인 Alexey가 체포된 이후 Tornado Cash 계약 내 유동성은 급격히 감소했으며, 동시에 이더리움 상의 다른 믹싱 채널들로의 트래픽이 눈에 띄게 증가하는 현상을 관찰할 수 있었다. 예를 들어 KYC 없는 플래시 스왑 거래소인 FixedFloat 같은 곳이다.
본 글에서는 KYC 없는 플래시 스왑 거래소란 무엇인지, 그들의 거래 메커니즘, 그리고 자금 세탁 시나리오에서 어떻게 활용되는지 설명하고자 한다.
KYC 없는 플래시 스왑 거래소란?
KYC 없는 플래시 스왑 거래소란 개인정보 제공 없이(고객 확인 절차, Know Your Customer, KYC) 즉시 암호화폐를 교환할 수 있도록 해주는 암호화폐 거래소다. 본질적으로는 체인 상 거래자를 위한 서비스이지만, 몇 가지 특성 때문에 이러한 거래소들이 종종 자금 세탁 도구로 악용되고 있다:
-
익명성: 이러한 거래소를 통한 거래는 사용자가 개인 정보를 전혀 제공하지 않아도 가능하며, 사용자는 단순히 체인 상 주소만 보유하고 있으면 바로 거래를 수행할 수 있다.
-
크로스체인 거래: 사용자는 여러 블록체인 간 자산 거래가 가능해 자금의 흐름 추적이 어려워지며, 특히 Monero/Zcash과 같은 프라이버시 코인 거래를 지원하는 플랫폼의 경우 더욱 그렇다.
-
약한 컴플라이언스 심사: FixedFloat은 거래 자금을 동결하는 사례가 거의 없는데, 이는 거래가 짧은 시간 안에 완료되기 때문이다. 다만 Curve 해킹 사건처럼 피해 자금이 아주 유명한 프로젝트에서 발생한 경우에 한해 예외적으로 동결될 수 있다(Curve 참조).
-
플래시 스왑 거래: 전체 거래 과정이 자동화되어 있으며, 일반적으로 최대 20분 이내에 거래가 완료된다.
거래 메커니즘
이러한 거래소의 거래 경험은 CEX(중앙화 거래소)와 DEX(탈중앙화 거래소) 사이에 위치한다. CEX와 달리 사용자는 자금을 거래소 소유 지갑에 입금하고 오더북 기반으로 거래를 완료할 필요 없이, KYC 없는 거래소를 상대로 직접 거래를 수행하므로 입출금 절차가 생략된다. 또한 DEX와도 다르게 거래가 스마트 계약을 통해 실행되는 것이 아니라 거래소 백엔드 시스템을 통해 실행된다.
여기서는 FixedFloat의 거래 프로세스를 예로 들어 설명하겠다:
1. 홈페이지에서 사용자는 교환할 암호화폐 쌍과 수량을 선택한다. 단일 거래 건당 교환량에는 상한선이 존재하며, 이는 해당 플랫폼의 해당 토큰 유동성 여건에 따라 달라지지만, 하나의 주소로 무제한 반복 거래가 가능하다.
2. 사용자는 수취 주소와 주문 유형을 지정한다. FixedFloat은 두 가지 주문 유형을 제공한다: 고정 환율 주문과 변동 환율 주문. 고정 환율 주문을 선택할 경우 고정 1% 수수료 + 네트워크 비용을 지불해야 하며, 일정 기간 내의 소규모 가격 변동 위험에서 자유로워진다. 변동 환율 주문은 0.5% 수수료 + 네트워크 비용이 발생하지만, 가격 변동으로 인해 실질적인 비용이 더 커질 수 있다.
3. 거래를 시작하면 FixedFloat은 새롭게 생성된 입금 지갑을 지정하고, 사용자는 지정된 시간 내에 자금을 해당 주소로 송금해야 한다. 몇 개의 블록 확인 후, 플랫폼은 핫 월렛에서 사용자가 지정한 수취 주소로 자금을 송금함으로써 거래를 완료한다.
앞서 언급했듯이, 각 거래 건당 교환 상한은 플랫폼의 엄격한 제한 및 핫 월렛 내 유동성에 따라 결정된다. 플랫폼 핫 월렛의 특정 토큰 유동성이 부족할 경우, 일반적으로 바이낸스 등의 중앙화 거래소를 통해 유동성을 보충한다.
대부분의 KYC 없는 거래소들의 거래 프로세스는 크게 다르지 않으며, 각 거래소는 거래 과정의 특정 단계에서 최적화를 시도한다. 예를 들어 SideShift.ai는 ERC-20 토큰 입금 지갑을 모두 스마트 계약 주소로 구성한다. 사용자가 입금 주소 계약에 ERC-20 토큰을 송금하면, 플랫폼은 이후 핫 월렛으로의 전송 수수료를 지불하기 위해 입금 주소에 이더를 다시 입금할 필요 없이, 바로 계약의 Flush 메서드를 호출해 토큰을 집계할 수 있다.
체인 상 데이터 분석
우리는 사용 빈도가 높은 KYC 없는 플래시 스왑 거래소 세 곳—FixedFloat, ChangeNow, SideShift—에 대해 체인 상 데이터 특성 분석을 수행했으며, 이를 Tornado Cash와 비교했다.
이더리움 상 트래픽 비중을 살펴보면, 제재 이전까지 Tornado Cash가 절대적으로 우세했으나, 작년 8월 제재 이후 그 비중은 급락했다. 이후 FixedFloat과 ChangeNow가 주도하게 되었으며, 최근 대부분의 기간 동안 이 두 채널의 트래픽 합계는 약 80% 수준을 유지하고 있다. 그러나 대규모 자금이 도난당할 때마다 해커들은 여전히 자금 세탁을 위해 Tornado Cash를 선호하는 경향이 있다. 따라서 KYC 없는 플래시 스왑 거래소의 사용자 수는 Tornado Cash보다 훨씬 많지만, 개별 주소 당 입금 규모에서는 Tornado Cash가 여전히 다른 채널들을 크게 상회하고 있음을 알 수 있다.
자금 은닉 시나리오에서의 KYC 없는 거래소 활용
1. 직접적인 믹싱 채널로 활용
Tornado Cash와 마찬가지로 KYC 없는 거래소도 직접적인 자금 세탁에 사용될 수 있다. 예를 들어, 2022년 8월 Curve 해킹 사건에서 해커는 FixedFloat과 Sideshift를 이용해 자금을 이동시켰다. Eocene 팀의 분석에 따르면, 해당 해커는 자금을 다른 체인으로 크로스체인 전송했기 때문에 이후 추적이 어렵게 되었다.
2. 공격 자금 원천으로 활용
해커의 공격 자금 출처는 자금 추적 과정에서 중요한 단서가 되며, 공격 주소의 가스비(gas fee) 출처를 역추적함으로써 추가 정보를 확보할 수 있다. 하지만 일부 해커들은 KYC 없는 거래소를 통해 공격 주소에 가스비를 입금함으로써 자금 추적을 더욱 어렵게 만들고 있다. 예를 들어 Team Finance 해킹 사건에서 해커는 FixedFloat을 이용해 공격 주소에 초기 자금을 공급했다.
3. 다른 믹싱 채널과 연계 활용
우리는 일부 체인 상 주소들이 복수의 믹싱 도구를 연계해 사용함으로써 자금 이동 경로의 은폐성을 높이는 것을 관찰했다. 예를 들어, 많은 Tornado Cash 인출 주소들이 인출한 이더를 다시 FixedFloat 등 KYC 없는 거래소에 입금하는 경우가 많았다. 이러한 믹싱 도구의 연계 사용은 자금 추적을 더욱 어렵게 만든다. 아래 이미지는 Tornado Cash에서 100 ETH를 인출한 주소가 이후 모든 자금을 FixedFloat을 통해 전송한 사례를 보여준다.
KYC 없는 플래시 스왑 거래소 대상 자금 추적
체인 상 데이터를 살펴보면, KYC 없는 거래소의 거래 행위는 CEX와 매우 유사하다. 즉, 입금 주소를 지정하며, 사용자 자금을 수령하기 위한 하나 이상의 핫 월렛을 운영한다는 점에서 같다. 예를 들어 FixedFloat의 이더리움 상 핫 월렛 주소는 0x4e5b2e1dc63f6b91cb6cd759936495434c7e972f이다.
CEX와 다른 점은 CEX 내부 거래가 우리에게 완전한 블랙박스이지만, KYC 없는 플래시 스왑 거래소를 통한 거래는 모두 체인 상에 기록되므로 자금 흐름 추적이 가능하다는 것이다. 다수 체인의 데이터와 각 거래 금액을 분석한 결과, Eocene 팀은 현재 FixedFloat 거래소의 이더리움 상 인출 거래 가운데 약 50%의 자금 출처를 추적할 수 있게 되었다. 이러한 정보를 바탕으로 자금 추적 과정에서 더 많은 단서를 확보해 목표 자금의 행방을 찾을 수 있다. 만약 FixedFloat로 들어간 자금의 향후 이동 경로를 파악해야 하는 경우, 이메일 또는 트위터를 통해 문의할 수 있다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
Eocene Research
