Meme 코인을 이용한 러그풀(Rug Pull) 프로젝트 자금 세탁, PEPE 거래자 정체를 밝히다

2023.10.10

Meme 코인을 이용한 러그풀(Rug Pull) 프로젝트 자금 세탁, PEPE 거래자 정체를 밝히다

일반인들이 왜 가장 먼저 시작하는 사람들, 즉 '만배 코인'을 잡는 데 실패하는 걸까?

2023.10.10 - 09:08:23

PEPE

Web3 심층 보도에 집중하고 흐름을 통찰

일반인들이 왜 가장 먼저 시작하는 사람들, 즉 '만배 코인'을 잡는 데 실패하는 걸까?

원문 | NFTethics

정리 | Odaily성계일보

만약 당신이 밈 코인 애호가라면 올해 가장 핫한 프로젝트인 PEPE에 대해 들어봤을 것이며, 관련된 부의 신화도 들어봤을 가능성이 크다. 예를 들어 일부所谓的 '스마트 머니(Smart Money)' 주소들은 PEPE 발행 초기에 100달러를 투자해 한 번도 매도하지 않고 수만 배의 수익을 얻었다는 이야기인데, 이는 체인 데이터로 확인할 수 있다.

왜 일반 사람들은 '수만 배 코인'을 잡을 수 없고 가장 먼저 진입하는 사람들 중 하나가 될 수 없을까? 왜냐하면 이런 종류의 프로젝트에서 최대한의 수익을 얻을 수 있는 유일한 존재는 운영자들뿐이며, 그들은 바닥에서 사서 정상에서 빠져나갈 수 있기 때문이다. 심지어 이러한 밈 프로젝트의 설립 목적조차 일부 불법 자금을 세탁하기 위한 것이기도 하다.

최근 X 플랫폼(구 트위터) 사용자 「NFTethics」는 여러 장문의 트윗을 게시하며 정교한 체인 상 분석과 다양한 증거를 통해 PEPE 프로젝트의 배후 조종자의 실체를 밝혀냈다.

그의 트윗 요지를 요약하면 다음과 같다:

첫째, 2021년 11월 러그풀(Rug Pull) 사건을 일으킨 AnubisDAO 프로젝트의 자금이 올해 인기 급상승한 PEPE 프로젝트를 통해 세탁되었으며, 이를 실제로 조종한 인물은 익명의 유명 DeFi 투자자 시지푸스(Sisyphus)이다.

둘째, 시지푸스의 실체는 오픈씨(OpenSea) 벤처스 책임자인 케빈 포와락(Kevin Pawlak)이며, 현재 사치스러운 삶을 살고 있다.

셋째, 시지푸스(즉 케빈 포와락)는 AnubisDAO 프로젝트의 실제 주도자로서 해킹 수단을 통해 당시 프로젝트 관리자의 개인키를 확보하고 자금을 이전한 후, 대신 죄를 뒤집어쓸 희생양을 찾아 탈출했다.

최신 소식으로는 오픈씨 대변인이 이 사건에 대해 다음과 같이 답변했다. "케빈 포와락은 2023년 6월에 퇴사했으며, 오픈씨 재직 기간 동안 업무 범위가 제한적이었고 관리직이 아닌 비관리직이었다. 그가 AnubisDAO 러그 사건에 연루되었는지는 알지 못한다. 또한 우리는 관련 프로젝트와 어떤 연관도 없으며 해당 정보도 갖고 있지 않다. 왜냐하면 그러한 프로젝트들은 그가 오픈씨에 입사하기 전에 진행된 일이기 때문이다."

1. Anubis 프로젝트의 러그 자금, PEPE 프로젝트를 통해 세탁

시간을 2021년 11월로 되돌려 보자. 올림푸스DAO(OlympusDAO)의 클론 프로젝트인 AnubisDAO(토큰 ANKH)는 LBP(유동성 유도 풀)를 통해 13,256.4 ETH(당시 약 5,700만 달러)를 모금했다. 그러나 곧 관리자들은 이 자금이 다른 새 주소로 이체되었다는 사실을 발견했는데, 이때 LBP는 이미 20시간 진행되었고 종료 시간에 도달하지 않은 상태였다.

본격적인 이야기의 주인공인 시지푸스가 AnubisDAO에서 어떤 역할을 했는가? 겉으로는 프로젝트의 홍보 대사이지만, 실제로는 주도자였다(아래에서 더 설명).

AnubisDAO 자금이 훔쳐지기 하루 전, 시지푸스는 디스코드 커뮤니티에서 프로젝트를 적극적으로 홍보하며 자신이 이미 42만 달러어치를 구매했다고 선언했다(이 지점을 기억하라, 시험에 나온다). 앞으로도 계속 추가 매수할 것이며, 사용자들의 우려를 불식시키기 위해 이 프로젝트는 절대로 러그되지 않을 것이라 강조했다. 개발이 순조롭지 않더라도 결국 모두 원금을 회수할 수 있을 것이라고도 했다.

（시지푸스 커뮤니티 마케팅 녹취록）

결국 다음날 프로젝트는 실제로 러그됐다. 시지푸스는 즉각 긴 글을 올려 자신의 책임을 부인했으며 미국과 중국 홍콩의 집행기관과 접촉했다고 밝히며, 해커에게 자금을 돌려줄 것을 호소했다. 이후 시지푸스는 더 이상 AnubisDAO 관련 동향을 업데이트하지 않았고, 마치 42만 달러란 정말 작은 돈인 것처럼 행동했다.

물론 해커는 AnubisDAO의 도난 자금을 반환하지 않았다. 지난 거의 2년간 이 도난 자금은 지속적으로 다양한 믹서(mixer) 및 KYC가 필요 없는 플랫폼을 통해 세탁되어왔다. 그중 한 지갑(Anubis Rug 3)은 KYC가 필요 없는 세이셸 소재의 플랫폼 FixedFloat과 상호작용했는데, 이 지갑의 가스비는 FixedFloat이 제공했다. 아래 참조:

（Anubis Rug 3）

흥미로운 점은, PEPE 프로젝트 초기 보유자들의 출발 자금 역시 FixedFloat 플랫폼에서 왔다는 것이다. 예를 들어 재크 테스타(Zach Testa, 계정: DegenHarambe)와 맥스 짐(Max Zim, 계정: SumFattyTuna) 등이 있다. 특히 재크 테스타는 4월 14일 PEPE 토큰 컨트랙트가 게시된 지 몇 분 만에 구매를 완료했으며, 바로 프로젝트 트윗을 게시했다. 3분 후, 맥스 짐은 이 트윗을 즉각 리트윗하고 마찬가지로 PEPE를 매수했다. 일련의 과정이 매우 자연스럽고 매끄러워 보였는데, 마치 미리 연습한 듯한 느낌을 준다.

시지푸스와 재크 테스타, 맥스 짐 사이의 관계는 매우 긴밀하다. 소식통에 따르면 짐은 시지푸스의 전 룸메이트라고 한다. AnubisDAO 러그 사건 이전에도 시지푸스의 지갑은 짐과 송금 기록을 남긴 바 있으며, 두 사람은 공동으로 방송 인터뷰에도 출연한 적이 있는데, 이때 시지푸스는 얼굴을 공개하지 않았다.

（지갑 상호작용 기록）

4월 17일, 시지푸스는 트윗을 통해 "주말에 누군가 'pepe'라는 이름의 토큰으로 0.02 ETH를 63 ETH로 만들었다"고 언급하며 0x5DD로 시작하는 특정 주소를 공유했다. 이에 맥스 짐은 즉각 반응하며 시지푸스와 상호작용했다.

흥미로운 점은, 0x5DD로 시작하는 주소가 4월 7일 FixedFloat 플랫폼에서 출발 자금을 받았다는 것이다. 또한 4월 7일에는 또 다른 버전의 'PEPE' 토큰(aPEPE라고 구분함)이 처음 출시되었는데, 이는 우리가 잘 아는 PEPE 버전과 동일한 컨트랙트를 가지며 동일한 초기 보유자들을 공유한다. 예를 들어, 맥스 짐은 4월 7일 aPEPE 판매 초기에 구매에 참여했다. 하지만 이후 커뮤니티 인터뷰에서는 본인이 PEPE를 들어본 적 없다고 주장했다. 즉, 맥스 짐은 처음부터 PEPE 코인이 오를 줄 알고 있었다는 추측이 가능하다.

（짐, 프로그램 출연 중 PEPE 처음 들었다고 주장）

우연은 여기서 그치지 않는다. Anubis Rug 3 지갑이 3,000 ETH를 이체한 지 2분 후, 짐의 지갑 주소가 체인 상에서 활동하며 PEPE를 매수하기 시작했다. 조사 결과, Anubis 러그와 관련된 지갑이 활발하게 송금할 때마다 짐의 지갑도 PEPE 관련 작업을 동시에 수행하고 있는 것으로 나타났다.

（짐 지갑과 Anubis Rug 지갑 동시 활성화）

또한 Anubis 자금은 주로 Stake 등의 플랫폼을 통해 자금세탁이 이루어졌으며, PEPE 관련 자금을 보유한 지갑 주소들도 PEPE 상장일(4월 14일) 이후 다량의 자금을 Stake로 이체하고, 다시 Stake에서 FixFloat로 옮겼다. 또한 Anubis 도난 자금 대부분은 올해 3월~7월 사이에 이체되었으며, 이는 PEPE의 성장 주기와 거의 일치하거나 동기화되어 있어 깊은 연관성이 있음을 시사한다. 즉, 도난 자금이 PEPE를 과열시켜 세탁되었을 가능성이 크다.

Anubis 도난 자금의 전체 흐름을 파악하기 위해서는 일부 CEX 및 OTC 플랫폼의 협력이 필요하다—일부 자금은 KYC가 필요한 플랫폼으로 흘러들어갔기 때문이다. Anubis 도난 자금과 PEPE 과열 사이에 어떤 관련성이 있는지는 추가 증거를 통해 검증해야 할 부분이다.

추가 정보 하나, 올해 8월 PEPE 팀 내부 갈등이 발생했다. 일부 전 구성원들이 멀티시그 권한을 몰래 삭제하고 토큰을 매도한 후, 공식적으로는 모호한 공지를 발표했다.

2. 시지푸스, Anubis 주도 및 자체 러그 기획

블로거 'NFTethics'는 Anubis 자금 도난 사건 며칠 전 팀원들의 내부 채팅 로그를 입수했다.

조사 및 추론에 따르면, 시지푸스는 프로젝트의 진짜 지휘자였으며 거의 모든 결정은 그의 승인과 서명을 거쳐야 했다. 게시할 트윗의 정확한 문구부터 기술적·재정적 문제까지 모두 포함된다. 그리고 프로젝트의 러그풀 역시 시지푸스가 스스로 기획한 것으로, 다른 팀원 '비어루스(Beerus)'에게 죄를 뒤집어씌우는 데 성공했다.

（팀 역할 분담）

역할 분담표에서 시지푸스는 자신을 '외부 홍보를 담당하고 DAO 멤버들을 단합시키는 역할'이라고 소개했지만, 실제로는 명령을 내리는 책임자였다.

팀원 'AureliusBTC'는 채팅에서 "우리 중 누구도 LBP(유동성 유도 풀)를 진정으로 이해하지 못하지만, 시지푸스만 이해하면 된다"고 말했다. 또 다른 멤버 '비어루스'가 새로운 팀원 합류를 공식적으로 발표하는 트윗을 올렸을 때, 시지푸스는 즉시 그에게 트윗 삭제를 지시했고 비어루스는 그 지시를 따랐다. 또한 시지푸스는 채팅에서 자신이 Alameda Research(SBF 소유 암호화폐 기업)와 연결되어 있으며, 그쪽에서도 Anubis 토큰 ANKH를 구매했다고 언급했다.

（시지푸스, LBP 관련 설명）

Anubis의 유동성이 고갈된 사건으로 돌아가 보자. 사건 발생 후 시지푸스는 외부에 "DAO 멤버들이 비어루스에게 LBP를 배포하도록 동의했다. 왜냐하면 여가가 없거나 책임지고 싶지 않았기 때문이다"고 주장했다. 그러나 내부 채팅에서는 이를 뒷받침하는 증거가 전혀 없다. 오히려 시지푸스는 처음에 "사상 최고의 멀티시그"를 사용한다고 말했지만, 이후 채팅에서는 자신이 서명할 수 없다고 말했다. 따라서 그가 기존의 멀티시그를 비어루스 단독 책임으로 변경하여 이후 공격의 기반을 마련했을 가능성이 있다. 이후 사건의 시간순으로 보면 다음과 같다:

10월 28일 늦은 밤, 시지푸스는 자기가 6시간 정도 자겠다고 말하며 마지막 메시지는 00:16에 남겼다;
다음날 아침 채팅에 복귀한 시간은 오전 07:18이며, 그 사이에도 몇 가지 질문에 답했다;
07:20, LBP 관리 권한을 가진 '비어루스'의 이메일로 시지푸스의 이메일 주소에서 SAFT(미래 토큰 간단 계약)가 포함된 PDF 파일이 도착했다. 비어루스는 이후 이 PDF에 트로이 목마 바이러스가 있었으며, 자신의 컴퓨터를 감염시켜 LBP 관리 권한을 탈취당했다고 밝혔다;
07:26, 시지푸스는 비어루스와 잠시 대화를 나누며 LBP 종료 전까지 깨어있을 것을 당부했고, 07:44까지 계속 대화했다. 이때 LBP 종료까지 4시간 남았다;
07:48, LBP 자금이 모두 소진되었고, 모든 ETH가 관리 계정에 의해 새 주소로 인출되었으며, ANKH 토큰만 무가치하게 남았다.

사후 조사 결과, Copper 플랫폼과 Balancer의 스마트계약은 해킹되거나 손상되지 않았다. 즉, LBP 생성자인 비어루스의 지갑 계정은 그가 주장한 대로 해킹당했거나, 아니면 스스로 연출한 것이다. 시지푸스는 자신의 이메일 주소로 그런 메일을 보낸 적이 없다고 주장했다.

（비어루스, 바이러스 메일 수신 주장）

도대체 누가 거짓말을 하고 있는가? 몇 가지 간접 정보로 추론해보자. 우선 비어루스뿐만 아니라 다른 VC 연락자들도 동일한 메일을 받았다. 차이점은 비어루스는 오전 07:20에 PDF 이메일을 받았지만, 다른 사람들은 30분 늦게 받았고 일부는 몇 시간이나 늦게 받았다. 가능한 설명은 공격자가 대량 발송하여 공격 대상을 혼란시키려 한 것이며, 비어루스가 PDF를 열어 컴퓨터를 공격할 수 있도록 미리 시간을 맞췄다는 것이다.

또한 다른 사람들이 받은 PDF를 분석한 결과, 가짜 메일임을 알려주는 경고는 발견되지 않았다. SPF는 Gmail 주소가 실제로 Gmail에서 오지 않았을 경우에만 표시한다. 사진을 보면 해당 주소에서 실제로 이메일이 발송된 것으로 보인다. 즉, 이 이메일들은 진짜로 시지푸스의 실제 이메일 주소에서 보낸 것이다. 그런데도 시지푸스는 자신이 메일을 보낸 적 없다고 단언하며, 채팅방에서도 "이게 무슨 뜻이지?"라며 어리둥절한 척했다.

또한 다른 사람들의 이메일을 분석한 결과 바이러스가 설치되지 않았다—실제로 바이러스가 설치된 것은 비어루스의 메일만이었고, 그는 이후 홍콩 경찰에 자신의 컴퓨터를 제출하여 무죄를 입증하려 했다(현재까지 새로운 진전은 없으며 사건은 묻힌 듯하다).

문제는 공격자가 어떻게 비어루스가 LBP 관리 권한을 가지고 있다는 것을 알았는가? 일부 내부 인사가 아니라면 비어루스가 (유일하게) 통제권을 가졌다는 사실을 아무도 모른다. 실제로 Anubis 팀원 Convex가 그룹 채팅에서 이렇게 말했다. "왜 비어루스가 악성코드를 받았지? 그가 공격 대상이 되는 건 말이 안 돼. 우리 모두가 알고 있듯이, 나는 AureliusBTC와 함께 개발자이고 개인키를 보유할 가능성이 더 높아. 외부인은 비어루스의 상황을 전혀 모른다."

흥미롭게도, 시지푸스는 비어루스에게 "형, 뭐 클릭했어?"라고 물었다. 이때 비어루스는 아직 악성 이메일 PDF를 클릭했다는 사실을 아무에게도 알리지 않았고, 다른 누구도 모르는 상황이었다. 시지푸스는 어떻게 알았을까?

LBP 펀드 풀이 고갈된 후 시지푸스는 비어루스가 프로젝트를 러그했다고 비난하며 "너는 내 명성을 망쳤다"고 말했다. 또한 시지푸스는 공격자의 IP 주소를 공개하며 이것이 비어루스가 거주하는 홍콩에서 왔다고 언급했다. 그러나 실제로 이 IP 주소는 제3자 VPS 제공업체를 통해 얻은 것이며, 다양한 지역의 서버를 임대할 수 있으므로 참고 가치가 없다. 이후 비어루스는 투자자들에 의해 실체가 밝혀졌는데, 홍콩 경마계 유명 인사 장순정(張順正)의 아들로 당시 19세였다.

또 다른 세부 사항으로, 앞서 언급한 PEPE 초기 참여자 맥스 짐(Max Zim)도 Anubis의 판매에 참여했다. 이후 그는 트위터에서 시지푸스를 옹호했는데, 이는 둘 사이의 친분이 두터웠기 때문이다.

3. 시지푸스, 새로운 계정 개설, 실체는 OpenSea Ventures 책임자 케빈 포와락

앞서 언급했듯이, Anubis 프로젝트에 42만 달러를 투자했다고 주장한 시지푸스는 프로젝트가 러그된 후에도 조금도 낙담하지 않았다. 짧은 글을 올려 책임을 부인한 후 더 이상 후속 진행 상황을 관심 갖지 않았다.

11월 6일(공격 발생 일주일 후), 시지푸스는 트위터에 또 다른 계정을 개설해 '0xMagallan'(현재 폐쇄됨)이라는 별명을 사용했다. 이 계정은 지난 2년간 비정상적으로 활발했으며, 누적 트윗 수 5,000개 이상, 각종 프로젝트 마케팅에 참여했으며, ferdinand-magellan.eth 및 ukrainedonations.eth 두 개의 지갑 주소를 포함하고 있었다.

사실 시지푸스(케빈 포와락)가 논란이 되는 부분은 이것 말고도 많다. 예를 들어, 그는 고가의 NFT인 Etherrock 72를 구매해 NFT 조각화 프로토콜 Fractional에서 PEBBLE 토큰으로 조각화한 후 극도의 프리미엄으로 판매했다. ETH 기준으로 PEBBLE 토큰은 최고점 대비 99% 이상 폭락했다. 이 프로젝트는 2023년에 종료되었으며 모든 사업을 중단했고, PEBBLE 공식 웹사이트 pebble.xyz도 만료되어 판매 중이다.

오랫동안 시지푸스와 0xMagallan의 실체를 본 사람이 아무도 없었고, 인터넷에도 관련 자료가 전혀 없었다. 그러나 'NFTethics'는 다양한 체인 상 정보와 여러 출처를 통해 그의 실체가 OpenSea Ventures 책임자 케빈 포와락임을 확인했다.

케빈 포와락

먼저 pawlak.eth와 sisyphus.eth 주소의 타임스탬프가 완전히 일치한다. 체인 데이터에 따르면, 두 주소는 1분 간격으로 Zorbs(ZORB)를 민팅했으며, 10분 이내에 sismo.eth DAO(SDAO)를 민팅했고, 기타 체인 상 작업 간격도 매우 짧아 계정 활동이 거의 동기화되어 있다.

흥미로운 점은, 케빈 포와락은 종종 '시지푸스'라는 별명 계정을 사용해 오픈씨에 대한 비판 트윗을 올린다는 것이다—아마도 오픈씨에 압력을 가해 자신이 가장 큰 이득을 볼 수 있는 프로젝트를 출시하게 하려는 의도일 수도 있고, 혹은 단순한 불만 표출일 수도 있다.

The Block의 기자 팀 코펠랜드(Tim Copeland)를 포함한 여러 사람이 시지푸스의 실체가 실제로 케빈 포와락임을 확인했다—사실 소규모 커뮤니티 내에서는 이미 널리 알려진 사실이다.

현재 그는 지갑 이름을 pawlak.eth로 변경했다. 지갑 주소는 다음과 같다:

0xBB5BB336d1Db8471B77F936C210B15fa2A5b3cbb.

케빈 포와락은 영리하다. 인텔 과학 인재 경시대회 준결승 진출자이며 화학공학 학위를 가지고 있으며 외과의사/연구원이 되고자 했지만, 그를 아는 사람들은 그의 어두운 면을 지적한다. 무정하고 비윤리적이며 반사회적 성향이 있으며 양심이나 후회 없이 거짓말할 수 있다고 말한다.

지난해 10월, 케빈 포와락은 330만 달러를 주고 뉴욕에 또 다른 부동산을 구입했다. 소식통에 따르면, 케빈 포와락은 최근 프랑스에서 롤스로이스와 람보르기니(총 100만 달러 이상)를 구입했으며, 사생활에서 자신의 부와 사치스러운 생활 방식을 자랑하고 있다고 한다.