
DeFi 프로젝트가 또 다시 문제를 일으켰다, BZRX IDO 사건 분석 및 예방 제안
작가|Certik
제한판 조던 운동화 AJ 모델이 오늘 저녁 6시 정식 발매된다는 소식을 듣고, 아침 일찍부터 가게 앞에 작은 의자를 들고 와서 줄을 서서 꽤 좋은 위치를 확보하고, 이제 막 구매하려는 찰나에 앞에 서 있던 몇몇 사람들이 진짜 팬이 아니라 되팔기를 노리는 스펙터(티켓 부스터)임을 알게 되는 상황을 생각해보자.
이 스펙터들은 가게에 남아있던 모든 새 AJ를 싹쓸이했고, 당신은 어쩔 수 없이 온라인 구매로 방향을 틀었다. 하지만 예상대로, 고사양 컴퓨터도 없었고, 특별히 구매를 위해 개발된 프로그램도 없었으며, 인터넷 속도 역시 업그레이드 비용을 지불하지 않았기 때문에, 온라인 선착순 판매에서 AJ는 또다시 순식간에 매진되고 만다.
원래 정가가 수천 위안이었던 신발 한 켤레가 갑자기 온라인에서 수만 위안으로 치솟았고, 판매 가격은 더 이상 공식 판매처의 것이 아니라 이 스펙터들의 손에 의해 결정되고 있다.
이와 같은 사례는 여러분이 충동구매를 할 때 자주 목격하는 일이겠지만, 블록체인 분야에서도 계속해서 유사한 사건들이 발생하고 있다.
북경 시간으로 7월 13일 밤 10시 28분, BZRX가 Uniswap에 상장되자마자 한 사용자가 스마트 계약을 통해 650개의 ETH로 196.61만 개 이상의 BZRX를 즉시 구입하여 유동성 풀(pool) 내 BZRX의 39.3%를 교환했다. 두 분 후, 대량 매수가 원인이 되어 가격이 상승했고, 이 사용자는 일련의 매도 작업을 시작하여 총 2,030개의 ETH와 30만 개의 BZRX 토큰을 이익으로 얻었다.
다만, 이러한 행위는 공급 고갈(running out of gas)이라는 큰 비용과 위험을 감수하면서 실행된 것이다. 실제 공격 과정에서 공격자는 자신이 연달아 보내는 거래 중 어느 거래가 마이너(채굴자)에 의해 채굴되어 블록에 기록될지 알 수 없었다.

Roman Storm 트위터 캡처
보안 엔지니어 Roman Storm의 트위터 정보에 따르면, 실제로 모든 BZRX 매도 거래 중 14건이 실패했으며, 각각의 실패한 거래마다 고액의 가스 수수료가 지불되었다. 물론 15건의 거래는 성공했고, 이는 성공 확률이 약 절반 정도라는 의미이며, 공격 시도 자체가 상당한 위험을 동반했다는 것을 보여준다.
만약 공격자가 제한판 AJ 운동화를 구매하고 있다고 생각해보자. 신발 한 켤레를 살 때마다 수수료를 지불해야 하며, 매수 시도를 할 때마다 그 수수료가 즉시 차감된다. 그러나 매수 시도가 항상 성공하는 것은 아니며, 한번이라도 구매가 실패하면 그 수수료는 물거품이 된다.
이러한 공격의 접근 방식을 보면 사실상 경제학적 문제에 가깝다:
프로그램 모니터링을 통해 BZRX 상장 소식을 입수
대량으로 저가의 BZRX 매수
BZRX 가격 급등 유도
다수 차례에 걸쳐 BZRX 매도
공격자는 번개처럼 빠른 속도로 일련의 조작을 완료함으로써 막대한 이득을 얻었다.
올해 6월 말에도 유사한 사건이 있었는데, 아마 들어봤을 것이다. Balancer의 두 유동성 풀이 플래시론(Flash Loan) 공격을 받아 50만 달러의 손실을 입은 것이다. CertiK 스카이넷(Skynet) 시스템은 Balancer DeFi 계약의 이상 징후를 탐지한 후 이를 분석했다. 자세한 내용은 「공짜로 이더리움 훔치기: Balancer 공격 분석」과 「DeFi의 미래는 있는가? Balancer 재차 공격 당해」를 참고하기 바란다.
Uniswap이 BZRX 토큰을 거래 가능 목록에 포함시킨 직후, 공격자는 즉시 대량의 BZRX를 매수했다. Uniswap의 특정 시장 메커니즘 덕분에, 특정 토큰이 대량으로 매수되면 단가가 상승하게 된다. 이후 공격자는 다수의 거래를 통해 고가가 된 BZRX를 반복적으로 매도하며 ETH를 획득했다(각 BZRX 매도는 BZRX 가격 하락을 유도함). 결국 이 공격자는 막대한 수익을 얻었으며, 공격 비용과 최종 수익은 다음과 같다:
Roman Storm 트위터 캡처
두 사건의 공통점은 모두 DeFi 금융 모델의 메커니즘상 '결함'을 이용해 저가 매수-고가 매도 방식으로 차익을 실현했다는 점이다.
다만 이번 BZRX 사건과 Balancer 공격의 차이점은, Balancer에서는 공격자가 악의적으로 토큰 수량을 조작하고 가격을 인위적으로 낮추는 방식으로 통제했다는 점이다. 반면 이번 BZRX 사건에서는 공격자가 Uniswap에 막 상장되어 가격이 낮은 시점을 이용해 정상적인 거래 절차를 통해 구매함으로써 이익을 얻은 것이다. 따라서 Roman Storm은 이후 트위터에서 이 BZRX IDO 사건은 프로토콜 악용도, 해킹 행위도 아니라고 밝혔다.
그러나 전통적인 스마트 계약과 달리, DeFi 스마트 계약에는 금융 모델상의 취약점이 존재한다.
코드에 버그가 없고, 계약 배포에도 문제가 없다 하더라도, 문제는 여전히 금융 모델의 결함에서 비롯될 수 있다.
어쩌면 무방비 상태처럼 느껴질지도 모른다?
CertiK은 DeFi 프로젝트들이 이러한 문제의 재발을 방지할 수 있도록 몇 가지 기본적인 방법을 제안한다:
신규 토큰 발행 시 거래소의 상장 절차를 참고할 수 있다. 거래소는 토큰 판매 전 특정 지표에 따라 사용자에게 구매 한도를 설정하며, 판매 개시 후에는 각 사용자가 정해진 한도 내에서만 구매할 수 있도록 한다. 이렇게 하면 한 명의 사용자가 신규 발행 토큰의 약 40%를 싹쓸이하며 가격을 인위적으로 끌어올리는 상황을 방지할 수 있다.
링 트레이딩(Ring trading) 방식을 도입하여 거래 활동 사이에 간격을 두고, 여러 차례에 나누어 판매하는 방식을 적용할 수 있다.
dFusion과 유사한 일괄 경매(batch auction) 방식이나 네덜란드식 경매(Dutch auction) 등의 거래 방식을 활용할 수 있다.
이번 사건은 DeFi 프로젝트가 해킹당한 것도, 스마트 계약에 기술적 결함이 있었던 것도 아니다. 하지만 공격자가 막대한 허점을 파고들었고, 이는 DeFi가 기술적 측면이 아닌 금융적 측면에서 아직 성숙하지 못했음을 반영한다. 이전 CertiK 전문가의 분석처럼, 이는 본질적으로 경제학적 문제에 가깝다.
따라서 CertiK은广大 사용자들에게 DeFi 프로젝트의 리스크 점검을 강화하고, 보안 취약점을 지속적으로 모니터링할 것을 권장한다. 필요한 경우 제3자 보안 회사의 도움을 받아 공격 테스트 및 종합적인 보안 방어 체계를 구축하여 기타 원인으로 인한 문제까지도 사전에 차단할 것을 제안한다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News














