방임된 차익 거래 로봇이 Transit Swap을 공격하다, 기술 중립이 면책이 될 수 있을까?

2022년 10월 2일 새벽, 체인 상의 즉시 교환 프로토콜인 Transit Swap이 해커의 공격을 받았고, 많은 사용자들이 총 가치 2500만 달러 이상의 암호화폐를 여러 해커 주소에 의해 불법적으로 탈취당하여 암호화 커뮤니티에 광범위한 공포를 일으켰습니다. 비추이(Bittrace) 팀이 즉시 개입하여 공식 조사와 협력했습니다. 조사 결과, 탈취 원인은 Transit Swap의 핵심 코드 취약점이 해커에 의해 이용되어 사용자 주소 자산에 대한 무한 권한이 부여되었고, 이로 인해 사용자 자산이 대량으로 집합되어 이전된 것으로 확인되었습니다.

이번 보안 사고는 피해자 규모와 손실 자금 규모가 방대할 뿐만 아니라, 일부 직접 공격에 참여한 주소도 매우 특별합니다. 만후안(Manhua) 보안 팀이 처음으로 공개한 바에 따르면, 불법 이익을 얻은 자들 중에는 여러 차익 거래자와 공격 모방자가 존재했습니다. 이러한 특별한 공격 행위를 어떻게 규정할 것인지도 분명히 심각한 논의가 필요합니다.

1. 抢跑机器人란 무엇인가?

Frontrunning（抢跑）은 알려진 미래의 사건이 발생하기 전에 실행 대기열에서 첫 번째로 거래를 확보하는 행동입니다.

블록체인에서 프론트러닝은 거래 수수료를 높여 노드가 자신이 제출한 거래를 우선적으로 패키징하도록 하는 행동으로 이해할 수 있으며, 특정한 유일한 이익 기회를 쟁취하기 위해 사용됩니다. 예를 들어, 어떤 사람이 DEX 자금 풀에서 특정 토큰에 명백한 차익 기회가 존재하는 것을 발견했을 때, 그가 차익 거래를 블록체인 네트워크에 제출하면, 차익 거래자가 이를 감청할 수 있으며, 후자는 더 높은 수수료로 동일한 거래를 제출하여 선점할 수 있습니다. 결과적으로 차익 거래자가 이익을 가져가고, 최초로 거래를 제출한 사람은 실패하며 수수료를 낭비하게 됩니다.

현재 체인 상의 차익 거래자들은 블록체인 네트워크 내에 많은 스마트 계약（차익 거래 로봇）을 구축하여 수익성 있는 거래를 식별하고 자동으로 프론트러닝을 실행하고 있습니다.

2. 체인 상의 프론트러닝은 불법인가?

베이징 잉커（우한） 변호사 사무소의 차오스융 변호사는 다음과 같이 생각합니다: 블록체인 네트워크의 공개적이고 투명한 특성을 이용하여 자동으로 프론트러닝 거래를 실행하는 스마트 계약은 어느 정도 순수한 중립 기술이라고 할 수 있으며, 많은 기술 개발자나 제공자에게는 형법을 위반할 가능성이 없다고 여겨집니다. 그러나 기술 무죄론의 관점은 사실 기술 측의 일방적인 희망일 뿐이며, 기술이 구별 없이 악용되면 기술을 배포한 측도 큰 형사 법적 위험에 처할 수 있습니다.

해커가 프론트러닝으로 인해 실패한 도난 거래

이번 사건에서, 주요 공격자가 시작한 거래는 타인의 암호 자산을 불법적으로 획득하려는 의도를 가지고 있었고, 차익 거래 프로그램에 의해 자동으로 인식되어 선행 실행되어, 많은 무고한 사용자들의 총 가치가 100만 달러를 초과하는 $BUSD가 차익 거래 프로그램이 배포된 거래자의 지갑 주소로 전송되었습니다.

차익 거래자는 주관적으로 차익 거래 프로그램이 체인 상의 타인의 암호 자산 손실을 초래할 수 있다는 간접적인 고의가 있으며, 객관적으로는 로봇의 선행 실행 행동을 방치하여 결국 타인의 자산이 비밀리에 자신의 주소로 이전되는 결과를 초래했습니다. 그 불법성은 명백하며, 심지어 우리나라 형법을 위반할 수 있습니다.

3. 도난된 암호화폐는 어떤 법익을 침해했는가?

차오스융 변호사는 다음과 같이 주장합니다: 암호화폐의 본질은 컴퓨터 데이터이며, 동시에 일정한 재산 속성을 가지고 있습니다. 타인의 암호화폐를 불법적으로 획득하는 것은 컴퓨터 정보 시스템의 안전 관리 질서와 재산 법익을 침해하며, 이는 불법적으로 컴퓨터 정보 시스템 데이터를 획득하는 범죄와 도 theft죄를 구성할 수 있습니다.

차익 거래자가 초래한 손해

이번 Transit Swap 공격 사건에서:

1) 도난당한 암호화폐의 컴퓨터 데이터 속성과 재산 속성은 논란의 여지가 없습니다;

2) 차익 거래자/해커/모방 공격자가 타인의 컴퓨터 정보 시스템에 침입하여 시스템에 저장된 데이터를 수정했습니다;

3) 차익 거래자/해커/모방 공격자가 불특정 대상의 암호화폐를 대량으로 여러 차례 도난하여 상황이 심각합니다.

명백히 불법적으로 컴퓨터 정보 시스템 데이터를 획득하는 범죄와 도 theft죄의 구성 요건을 기본적으로 충족하고 있으며, 해커, 모방 공격자 및 차익 거래자는 직접적 또는 간접적인 주관적 고의 하에 타인의 암호 자산을 불법적으로 획득하고, 사후에 반환을 거부하는 경우, 우리나라 형법의 규제를 받을 가능성이 매우 높습니다.

마지막으로

Transit Swap 공식은 최신 공지에서 이번 사건에 참여한 모든 해커, 공격 모방자, 프론트러닝 차익 거래자들이 취약점 보상 및 환불 보상（관련 금액의 5%）에 따라 우호적으로 협상하여 10월 8일 이전에 사용자 자산을 반환하는 주소는 공격자로 간주되지 않으며 법적 규제를 면할 것이라고 밝혔습니다.

현재까지 최대 자금을 탈취한 해커는 1890만 달러 이상의 도난 자금을 반환했으며, 이는 탈취 금액의 80% 이상에 해당하며, 총 도난 금액의 약 65%를 차지합니다. 비추이(Bittrace) 팀은 모든 선의의 취득자가 즉시 이메일service@transit.finance 또는 체인 주소를 통해 Transit Swap과 연락하여 블록체인 안전과 신뢰를 함께 유지할 것을 촉구하고 있습니다.