FBI의 '속임수 작전'을 깊이 있게 분석한다: DEX에서 CEX로, 자금 세탁 거래가 널리 퍼져 있다
작성자: 리서치 기업 Kaiko
번역: Felix, PANews
10월 9일, ZM Quant, CLS Global, MyTrade 등 세 개의 마켓메이커와 그 일부 직원들이 넥스펀드AI(NexFundAI) 토큰 및 암호화폐 관련 엔티티를 대신해 허위 거래를 공모한 혐의로 기소되었다. FBI(연방수사국)가 제출한 증거에 따르면 총 18명의 개인과 조직이 기소 대상이다.
본문은 NexFundAI 토큰의 체인 상 데이터를 심층 분석하여 다른 토큰으로 확장 가능한 허위 거래 패턴을 파악하고 일부 토큰의 유동성을 의심하며, 탈중앙화 금융(DeFi) 내 다른 허위 거래 전략과 중심화 플랫폼에서 불법 행위를 탐지하는 방법, 나아가 한국 시장에서의 가격 조작 사례 등을 살펴본다.
FBI 토큰 데이터 속 허위 거래 식별하기
NexFundAI는 2024년 5월 FBI가 암호화 시장의 시장 조작 실태를 폭로하기 위해 설립한 회사가 발행한 토큰이다. 기소된 기업들은 고객을 대신해 알고리즘 기반 허위 거래, 빵풀(buy-and-pump), 덤핑 등의 조작 전략을 수행했으며, 주로 Uniswap 같은 거래소에서 활동했다. 이러한 행위는 새로 출시되거나 저유동성 소형 토큰을 표적으로 하여 활발한 시장처럼 보이게 만들고 실제 투자자를 유치함으로써 토큰 가격과 인지도를 끌어올리는 것을 목표로 한다.
관련 피의자들은 FBI 조사에서 자신의 절차와 목적을 명백히 인정했다. 일부는 "이것이 우리가 Uniswap에서 마켓메이킹을 하는 일반적인 방식"이라고까지 진술했다.
FBI의 위조 토큰인 NexFundAI에 대한 데이터 탐색을 위해 본문은 토큰의 체인 상 이체 내역을 검토한다. 해당 데이터는 발행부터 각 지갑 및 스마트 계약 주소에 이르기까지 모든 정보를 제공한다.
데이터에 따르면, 토큰 발행자가 마켓메이커의 한 지갑에 자금을 지원한 후, 이 지갑이 수십 개의 지갑으로 다시 자금을 분배하였으며, 이들 지갑은 그래프에서 짙은 파란색 클러스터로 강조되어 있다.
이러한 자금은 발행인이 Uniswap에 생성한 단일 2차 시장에서 워시 트레이딩(wash trading)에 사용되었으며, 그래프 중앙부는 2024년 5월부터 9월까지 거의 모든 지갑이 이 토큰을 수취하거나 이체한 집결점으로 표시된다.
이 결과는 FBI 조사 내용을 추가로 입증한다. 기소된 기업들은 수많은 봇과 수백 개의 지갑을 동원해 허위 거래를 실행했다.
분석을 보완하고 특정 지갑(특히 클러스터 내 지갑)의 이체가 사기임을 확인하기 위해, 각 지갑이 처음으로 자금을 수령한 날짜를 식별하고, NexFundAI 토큰 이체뿐 아니라 전체 체인 데이터를 조사하였다. 485개 지갑 중 148개(28%)가 샘플 내 최소 5개 이상의 다른 지갑과 동일 블록에서 처음 자금을 받았다.
미지의 토큰을 거래하는 주소가 자연스럽게 이러한 패턴을 보일 가능성은 극히 낮다. 따라서 적어도 138개 주소는 알고리즘 거래와 관련되어 있으며, 워시 트레이딩에 사용되었을 가능성이 크다.
이 토큰과 관련된 워시 트레이딩을 추가로 확인하기 위해, 이 토큰이 존재하는 유일한 2차 시장의 시장 데이터를 분석했다. 이 Uniswap 시장의 일일 거래량을 집계하고 매수·매도량을 비교한 결과, 두 값 사이에 놀라운 대칭성이 나타났다. 이러한 대칭성은 마켓메이커가 매일 이 시장에서 워시 트레이딩을 하는 모든 지갑의 순합산을 상쇄하고 있음을 시사한다.
단일 거래를 관찰하고 지갑 주소별로 거래를 색상 구분한 결과, 일부 주소가 한 달간의 거래 활동 동안 동일한 금액과 정확한 시간에 완전히 동일한 거래를 반복하는 것이 발견되었다. 이는 해당 주소들이 서로 연관되어 있으며 허위 거래 전략을 사용하고 있음을 의미한다.
Kaiko의 지갑 데이터 솔루션을 활용한 추가 조사 결과, 두 지갑은 체인 상에서 상호 작용한 적 없음에도 불구하고, 동일한 지갑 주소 0x4aa6a6231630ad13ef52c06de3d3d3850fafcd70에 의해 WETH 토큰으로 자금을 지원받았다. 이 지갑 자체는 Railgun의 스마트 계약에 의해 자금을 받았다. Railgun 웹사이트에 따르면, "Railgun은 전문 트레이더 및 DeFi 사용자를 위한 스마트 계약으로, 암호화 거래에 프라이버시 보호 기능을 추가한다." 이러한 발견은 지갑 주소가 시장 조작 또는 더 심각한 행위와 같은 비밀을 숨기고 있음을 시사한다.
DeFi 사기, NexFundAI에 국한되지 않다
DeFi의 조작 행위는 FBI 조사에만 국한되지 않는다. 데이터에 따르면 이더리움 DEX에서 20만 개 이상의 자산 중 다수가 실질적 활용 가치가 부족하며 개인이 통제하고 있다.
이더리움 상에서 발견된 일부 토큰 발행자들은 Uniswap에 단기 유동성 풀을 구축하고 있다. 풀의 유동성을 통제하면서 여러 지갑과 워시 트레이딩을 통해 일반 투자자들의 관심을 끌고 ETH를 축적한 후 토큰을 매도하고 있다. 설명된 바와 같이 약 10일 만에 초기 ETH 투자 대비 22배의 수익을 올렸다. 이 분석은 FBI의 NexFundAI 조사 범위를 넘어서 토큰 발행자들의 광범위한 사기 행태를 드러낸다.
데이터 패턴: GIGA2.0 토큰 사례
사용자(예: 0x33ee6449b05193766f839d6f84f7afd5c9bb3c93)는 주소(예: 0x000)로부터 신규 토큰의 전체 공급량을 수령(또는 발행)한다.
사용자는 즉시(하루 이내) 토큰과 일부 ETH를 이체하여 새로운 Uniswap V2 풀을 생성한다. 이 풀의 모든 유동성을 확보하고, 기여에 따라 UNI-V2 토큰을 획득한다.
평균 10일 후, 사용자는 모든 유동성을 회수하고 UNI-V2 토큰을 소각하며, 풀의 거래 수수료로부터 추가로 얻은 ETH를 수령한다.
이 네 가지 토큰의 체인 상 데이터를 검토하면 동일한 패턴이 반복된다. 이는 누군가 자동화되고 반복적인 방식으로 조작을 치밀하게 기획하고 있으며, 오직 수익 창출이라는 목적만을 가지고 있음을 증명한다.
시장 조작, DeFi만의 문제가 아니다
FBI의 접근 방식이 효과적으로 이러한 행위를 드러냈지만, 시장 남용은 암호화폐 시장에서 새롭거나 DeFi만의 문제가 아니다. 2019년, 마켓메이커 Gotbit의 CEO는 자사의 윤리적이지 않은 사업 모델, 즉 암호화 프로젝트가 소규모 거래소의 인센티브를 이용해 플랫폼 상에서 조작을 수행하도록 '위장'하는 것을 공개적으로 논의한 바 있다. Gotbit의 CEO와 이사 2명도 다양한 암호화폐와 관련된 유사한 계획으로 기소되었다.
그러나 중심화 거래소에서 이러한 조작을 발견하는 것은 어렵다. 이들 거래소는 시장 수준의 주문 및 거래 데이터만 공개하므로 허위 거래 여부를 판단하기 어렵다. 다만, 여러 거래소 간의 거래 패턴과 시장 지표를 비교함으로써 간접적으로 추정할 수 있다. 예를 들어 거래량이 자산 및 거래소의 유동성(1% 시장 깊이)을 크게 초과한다면, 이는 워시 트레이딩 때문일 수 있다. 일반적으로 메모코인(Meme coin), 프라이버시 코인, 저시가 알트코인은 비정상적으로 높은 거래량 대 깊이 비율(volume-to-depth ratio)을 보인다.
거래량 대 유동성 비율은 완벽한 지표는 아니며, 거래소의 무수수료 행사 등 거래량을 늘리기 위한 인센티브 프로그램의 영향을 크게 받을 수 있다는 점에 주목해야 한다.
거래량의 거래소 간 상관관계도 확인할 수 있다. 자산의 거래량 추세는 일반적으로 장기적으로 여러 거래소 간에 상관관계를 보인다. 일관되고 단조로운 거래량, 거래가 전혀 없는 기간, 혹은 거래소 간의 현저한 차이는 비정상적인 거래 활동의 신호일 수 있다.
예를 들어 PEPE(일부 거래소에서 거래량 대 깊이 비율이 높은 것으로 알려짐)를 분석할 때, 2024년 한 익명 거래소와 기타 플랫폼 간 거래량 추세에 큰 차이가 있음을 확인할 수 있었다. 해당 거래소의 PEPE 거래량은 고공행진을 유지했고, 7월에는 오히려 증가했으나 대부분의 다른 거래소에서는 감소했다.
보다 상세한 거래 데이터를 보면, 알고리즘 트레이더들이 해당 거래소의 PEPE-USDT 시장에서 활발히 활동하고 있다. 7월 3일 하루 동안 100만 PEPE 규모의 매수 및 매도 주문이 4,200건 발생했다.
같은 거래쌍은 7월 다른 날에도 유사한 패턴을 보였으며, 자동 거래 활동을 입증한다. 예를 들어 7월 9일부터 12일 사이에 200만 PEPE 규모의 매매 거래가 5,900건 이상 실행되었다.
자동 워시 트레이딩의 징후로는 높은 거래량 대 깊이 비율, 비정상적인 주간 거래 패턴, 고정된 규모와 빠른 실행 속도의 반복 주문 등이 있다. 허위 거래에서 하나의 실체가 동시에 매수 및 매도 지시를 내려 거래량을 부풀리고 시장을 더 유동적인 것처럼 보이게 만든다.
시장 조작과 시장 비효율의 경계는 모호하다
암호화 시장에서 시장 조작은 때때로 시장 비효율에서 수익을 얻는 트레이더들의 아비트리지(arbitrage)로 오인될 수 있다.
한국 시장의 '피싱 넷 펌프(Fishing Net Pumping)'가 대표적인 예다. 트레이더들은 입출금 일시 정지를 악용해 인위적으로 자산 가격을 끌어올리고 수익을 실현한다. 주목할 만한 사례로 2023년 해킹 사건 이후 CRV 토큰이 한국 여러 거래소에서 거래가 정지된 경우가 있다.
어떤 거래소가 CRV 토큰의 입출금을 정지하자, 대량 매수로 인해 가격이 처음에는 급등했다. 그러나 매도가 시작되면서 급속히 하락했다. 정지 기간 동안 매수로 인해 가격이 여러 차례 일시적으로 상승했으나, 이후 항상 매도가 이어졌다. 전반적으로 매도가 매수를 상회했다.
입출금 정지가 해제되면, 트레이더들이 거래소 간 자유롭게 매매하며 수익을 실현할 수 있어 가격은 급격히 하락한다. 유동성이 제한된 상태에서 이러한 정지는 일반적으로 가격 상승을 기대하는 소규모 투자자와 투기꾼들을 끌어들이기 쉽다.
결론
암호화 시장에서 시장 조작을 식별하는 연구는 아직 초기 단계에 있다. 그러나 과거 조사의 데이터와 증거를 결합하면 규제 당국, 거래소, 투자자들이 미래에 이 문제를 더 잘 해결할 수 있도록 도울 수 있다. DeFi에서는 블록체인 데이터의 투명성이 모든 토큰의 워시 트레이딩을 탐지할 수 있는 독보적인 기회를 제공하며, 점차 시장의 신뢰성을 높이고 있다.
중심화 거래소에서는 시장 데이터를 통해 새로운 형태의 시장 남용을 부각시키고, 일부 거래소의 인센티브가 공공의 이익과 일치하도록 유도할 수 있다. 암호화 산업이 발전함에 따라 모든 이용 가능한 데이터를 활용하면 해로운 관행을 줄이고 더 공정한 거래 환경을 조성할 수 있을 것이다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@KaikoData
