에어드랍 공격자 '羊毛党' 겨냥: AI 기술로 여巫 주소의 90%를 어떻게 적발할 것인가?
글: 니키, 포사이트 뉴스
본문은 논문 《Detecting Sybil Addresses in Blockchain Airdrops: A Subgraph-based Feature Propagation and Fusion Approach》의 내용을 기반으로 번역 및 정리한 것입니다.
최근 바이낸스 리스크 관리 부서는 Zand AI 부서와 ZEROBASE와 공동으로 시빌(Sybil) 공격에 관한 논문을 발표했습니다. 독자들이 논문의 핵심 내용을 빠르게 파악할 수 있도록 하기 위해, 저는 논문을 분석한 후 그 핵심 내용을 아래와 같이 요약했습니다.
암호화폐 에어드랍 활동 속에는 늘 특별한 플레이어들이 어둠 속에서 움직입니다. 이들은 일반 사용자가 아니라 자동화 스크립트를 이용해 수백, 심지어 수천 개의 가짜 주소를 대량 생성합니다. 바로 악명 높은 '시빌 주소'들입니다. 이러한 주소들은 스타크넷(Starknet), 레이어제로(LayerZero) 등 유명 프로젝트의 에어드랍에 기생하듯 붙어 있으며, 프로젝트 팀의 예산을 갉아먹고 진정한 사용자들의 보상을 희석시키며, 블록체인의 공정성이라는 근간마저 훼손하고 있습니다.
이러한 지속되는 기술적 고양이잡쥐 게임에 맞서, 바이낸스 리스크 관리팀은 학계와 협력하여 ‘서브그래프 기반 lightGBM’이라는 AI 탐지 시스템을 개발했으며, 실제 데이터 테스트에서 90%의 정확도를 기록했습니다.
시빌 주소의 세 가지 '신분증'
왜 이러한 부정행위 주소들을 정확하게 잡아낼 수 있을까요? 연구팀은 193,701개의 실제 주소(이 중 23,240개가 시빌 주소로 확인됨)의 거래 기록을 분석한 결과, 이들이 반드시 남기는 세 가지 행동 흔적이 있음을 발견했습니다.
시간 지문이 첫 번째 취약점입니다. 시빌 주소의 작업은 기묘할 정도로 '정확한 타이밍'을 보입니다. 최초로 가스비를 받고, 첫 거래를 완료하며, 에어드랍에 참여하는 등의 핵심 단계가 극히 짧은 시간 안에 집중적으로 발생합니다. 반면, 진정한 사용자들의 작업 시간은 무작위적으로 분포됩니다. 왜냐하면 누구도 에어드랍 한 번 받으려고 전용 주소를 만들고 바로 폐기하지 않기 때문입니다.
자금 궤적은 경제적 동기를 드러냅니다. 이 주소들의 잔액은 언제나 '필요한 만큼만' 유지됩니다. 즉, 에어드랍 조건 최소 금액보다 조금 더 많게 유지함으로써 자금 비용을 절감하며, 보상 수령 즉시 신속히 자금을 이체합니다. 더욱 명백한 것은, 대규모 작업 시 이체 금액이 매우 일관된다는 점이며, 이는 진정한 사용자들의 자연스러운 변동과는 다릅니다.
관계 네트워크는 결정적인 증거가 됩니다. 거래 그래프를 구성한 결과, 연구팀은 세 가지 전형적인 위상 구조를 관찰했습니다.
-
스타 네트워크: 하나의 '지휘 센터'가 수십 개의 하위 주소로 자금을 분배합니다.
-
연쇄 구조: 자금이 마치 계주처럼 주소 사이를 선형으로 이동하며 활동 기록을 위조합니다.
-
트리형 확산: 다층 분기 구조를 활용해 탐지를 회피하려 합니다.
이러한 패턴들은 자동화된 운영의 협업성을 노출시키며, 전통적인 탐지 방식으로 가장 모방하기 어려운 특징입니다.
두 겹의 관계망: AI 탐정의 수사 도구
전체 블록체인의 거래 데이터를 추적하는 것은 바늘 haystack에서 바늘 찾기와 같습니다. 본 연구팀은 두 겹의 거래 서브그래프 모델을 채택했는데, 마치 탐정이 수사할 때 목표 인물(A 주소)만 보는 것이 아니라, 그의 직접 연락처(A에게 송금한 주소, A가 송금한 주소), 그리고 그 연락처들의 관련자들(2차 관계)까지 조사하는 것과 같습니다.
더욱 중요한 것은 독창적인 '특징 융합 기술(feature fusion technology)'입니다. 시스템은 이웃 주소들의 행동 특징들을 수집해 목표 주소의 '행동 파일'로 집약합니다. 예를 들어, 특정 주소와 연결된 모든 주소들의 이체 금액의 최솟값, 최댓값, 평균값, 변동폭 등을 통계적으로 산출하여 자금 흐름 규칙을 설명하는 복합 지표를 만들거나, 이웃들의 입도·출도(연결된 주소 수)를 계산해 네트워크 밀도를 판단합니다. 이러한 설계 덕분에 시스템은 580만 건 이상의 거래를 분석하면서도 효율성을 유지하며, 전통적인 방법에서 전체 네트워크 데이터를 추적할 때 발생하는 계산 재앙을 피할 수 있습니다.
실전 검증: 바이낸스 에어드랍에서 '유령'을 사로잡다
이 시스템은 바이낸스 소울바운드 토큰(BAB)의 실제 에어드랍 데이터에서 실전 시험을 치렀습니다. BAB는 바이낸스가 2022년 출시한 소울바운드 토큰으로, KYC를 완료한 진정한 사용자의 신원을 인증하는 용도로 사용되므로, 시빌 행위 탐지에 이상적인 실험장이 되었습니다.
연구팀은 먼저 수작업 분석과 클러스터링을 통해 의심 주소를 선별하고, 항소 심사 메커니즘을 통해 최종적으로 시빌 주소 라벨을 확정했습니다. 데이터 정제 과정에서는 기관 주소(예: 거래소 핫월렛), 스마트 계약, 생존 기간이 1년을 초과한 주소(시빌은 탐지를 피하기 위해 종종 오래된 주소를 폐기함)를 제외하여 데이터셋의 순수성을 확보했습니다.
결과는 다음과 같습니다. 새로운 방법은 세 가지 부정 네트워크에 대해 매우 높은 정확도를 달성했습니다.
-
스타 네트워크 인식률 99%(기존 최고 방법 95%)
-
연쇄 구조 인식률 100%(기존 최고 방법 95%)
-
트리형 확산 인식률 97%(기존 최고 방법 95%)
네 가지 핵심 지표 모두 0.9를 돌파했습니다. 정밀도는 0.943(기존 최고 모델 0.796), 재현율은 0.918(즉, 91% 이상의 시빌 주소가 적발됨), F1 점수는 0.930, AUC 값은 0.981(완벽한 분류에 근접)입니다. 이는 프로젝트 팀이 진정한 사용자에게 잘못 타격을 줄 위험을 크게 줄이면서 동시에 부정행위의 허점을 막을 수 있음을 의미합니다.
기술의 한계와 미래 전장
현재 이 기술은 장기 에어드랍 시나리오(예: 단계별로 발행되는 소울바운드 토큰)에 주로 적용됩니다. 이런 활동은 AI가 학습할 충분한 라벨 데이터를 축적할 수 있기 때문입니다. 블록체인 호환성 측면에서는 이더리움 가상 머신(EVM)과 호환되는 체인(BNB 체인, 폴리곤 등)을 지원하지만, 아직 비트코인 등의 UTXO 모델 체인에는 적용되지 않습니다. 다만 논문은 UTXO 체인에서는 높은 가스 비용으로 인해 에어드랍 활동 자체가 거의 없어 실제 영향은 제한적이라고 지적합니다.
연구팀은 이 기술의 잠재력이 에어드랍 분야를 훨씬 넘어서고 있다고 강조합니다. 거래 네트워크와 행동 패턴을 통해 이상 징후를 식별한다는 점에서, 다음 분야에도 동일하게 적용될 수 있습니다.
-
시장 조작 행위 탐지(예: 급등락(Pump & Dump)에서의 협업 주소).
-
토큰 유동성 리스크 평가(허위 거래쌍 식별).
-
온체인 신용 평가 시스템 구축.
시빌 공격 전략이 계속 진화함에 따라, Web3의 공정성을 수호하기 위한 기술적 군비 경쟁은 탐지 시스템을 더욱 지능화되고 보편화된 방향으로 반복 발전시켜 나갈 것입니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
Foresight News
