2개월 동안 3000만 달러를 벌어들인 솔라나의 "샌드위치 공격"이 왜 끊이지 않는가

저자: Frank, PANews

세상은 MEV에 오랫동안 고통받고 있다.

불만의 목소리가 높지만, MEV 로봇은 여전히 제한되지 않고 있으며, 오히려 "샌드위치 공격"을 통해 끊임없는 부의 축적을 이어가고 있다.

6월 16일, Ben이라는 연구원이 소셜 미디어에서 arsc로 시작하는 주소의 샌드위치 공격 로봇(이하: arsc)이 2개월 동안 3천만 달러 이상을 벌어들였다고 폭로했다. PANews는 이 MEV 로봇의 행동과 운영을 심층 분석하여 이 MEV 로봇이 수천만 달러의 부를 어떻게 실현했는지 파헤쳤다.

모래를 쌓아 탑을 이루다, 무차별 공격

"샌드위치 공격"은 시장 조작 전략의 일종으로, 공격자가 블록체인 거래에서 자신의 거래를 순차적으로 삽입하여 피해자의 거래로 인한 가격 변동을 이용해 이익을 얻는 방식이다.

Solana 브라우저는 하루의 마지막 1000건 거래만 볼 수 있기 때문에, 우리는 가장 먼저 arsc의 4월 21일 15:38부터 16:00까지의 약 20분 동안의 거래를 포착할 수 있었다. 이 시간 동안 해당 로봇은 494건의 거래를 수행했으며, 초기 SOL 잔액은 449개였고, 20분 후 잔액은 465개로 증가했다. 즉, 불과 20분 남짓한 시간 동안 arsc 주소는 샌드위치 공격을 통해 16개의 SOL을 벌어들였으며, 이 속도로 계산할 경우 하루 수익은 약 1152개의 SOL에 달하고, 당시 SOL 가격이 약 150달러로 계산될 때, 하루 수익은 17.28만 달러에 이를 수 있다.

PANews는 arsc의 마지막 100건 거래를 통계하여 arsc가 평균적으로 투자한 금액이 약 6990달러였고, 단일 거래의 평균 수익은 약 38달러, 단일 거래 평균 수익률은 약 3.44%에 달한다고 밝혔다. 43달러의 소액 주문부터 16만 달러의 대규모 주문까지 모두 공격의 대상이 될 수 있다. 일반적으로 가치가 높은 주문일수록 단일 수익도 높아진다. 16만 달러의 주문에 대한 공격에서는 단일 거래에서 1200달러의 이익을 얻었다. 이는 무차별 공격이라 할 수 있다.

（사진 설명: arsc의 일부 거래 기록 및 수익）

arsc의 자본금이 증가함에 따라 수익 속도도 안정적으로 증가하고 있다. 4월 22일, 이 날 반시간 내에 492회의 공격에서 수익 금액은 63 SOL에 달했으며, 단일 일일 수익 금액은 약 3000 SOL로 전날 대비 2배 정도 증가했다. 사실, 기록된 2개월 동안 arsc는 총 20.95만 SOL의 이익을 얻었으며, 평균적으로 하루에 3800 SOL을 벌어들였고, 일일 평균 수익은 약 57만 달러에 달한다. 이 수익 능력은 최근 화제가 된 MEME 코인 발행 플랫폼 Pump.fun(6월 19일, Pump.fun의 24시간 수익은 약 55.7만 달러)을 초과한다.

공격자는 슈퍼 검증자의 스테이킹 대주

해당 주소는 샌드위치 공격을 통해 얻은 이익을 차례로 9973hWbcumZNeKd4UxW1wT892rcdHQNwjfnz8KwzyWp6라는 주소(이하 9973)로 20.95만 SOL을 이체했으며, 이는 약 3142.5만 달러(150달러 기준)에 해당한다. 이후 9973 주소는 그 중 12.44만 SOL을 Ai4zqY7gjyAPhtUsGnCfabMoHcZLt3htjpSoUKvxkkt 주소(이하 Ai4z)로 이체하였고, Ai4z는 이 SOL 토큰을 탈중앙화 거래소를 통해 USDC로 판매하였다.

그 외에도 Ai4z 주소는 보유한 SOL을 여러 Solana 검증자에게 스테이킹하였다. Laine에게는 11001 SOL을, Jito에게는 8579 SOL을, Pumpkin에게는 4908 SOL을, Jupiter2467에게는 2467 SOL을, Marinade와 Blaze에는 각각 약 800 SOL을 스테이킹하였다.

그 중, laineSOL에서의 총 스테이킹 토큰은 19만 개이며, Ai4z 주소는 Laine의 최대 개인 스테이킹 사용자로, 비율은 5.73%로, 특정 거래소의 최대 보유 주소에 이어 두 번째이다. laineSOL은 검증자가 발행한 스테이킹 권리로, 사용자는 이 토큰을 보유함으로써 스테이킹 투표를 할 수 있을 뿐만 아니라 DeFi 수익도 얻을 수 있다. 그러나 현재 이 스테이킹 행위가 Laine와 공격자 간의 추가적인 관계를 나타내는지에 대한 증거는 없지만, 어느 정도 두자 간의 이익이 얽혀 있는 것은 분명하다. Laine은 Solana 체인에서 주요 검증자 중 하나로, 이전에 Solana가 100% 우선 수수료를 검증자에게 지급하도록 추진한 주요 지지자였다.（관련 기사: Solana 투표가 100% 우선 수수료 보상을 검증자에게 지급하는 배경, 커뮤니티의 논란이 거세다）

Solana에서의 샌드위치 공격이 끊이지 않는 이유

근본적으로 Solana에서의 MEV는 새로운 비즈니스로 볼 수 있다. MEV 보상 프로토콜 Jito가 출시되기 전, Solana에서의 MEV 데이터는 거의 무시할 수 있는 수준이었다. Jito가 MEV 보상 계획을 출시한 이후, 현재 66% 이상의 검증자가 Jito - Solana 클라이언트를 운영하고 있다. 이 클라이언트의 특징은 사용자가 검증자에게 추가 비용(팁)을 지불하여 검증자가 번들 거래 패키지를 우선적으로 실행하도록 하는 것이다. 또한, Jito는 샌드위치 공격자가 사용자가 시작한 거래 내용을 모니터링할 수 있는 메모리 풀을 운영하고 있다. 3월에 Jito는 샌드위치 공격을 줄이기 위해 메모리 풀을 일시적으로 폐쇄한다고 발표했지만, MEV 로봇은 여전히 RPC 노드를 운영하여 거래를 모니터링할 수 있다.

본질적으로 MEV는 전혀 쓸모없는 설계가 아니다. 우선 수수료 등을 통해 대량의 스팸 공격을 피할 수 있으며, 블록체인 네트워크의 건강을 유지하는 데 일정한 역할을 한다. 다만 현재 Solana에서는 여전히 사용자의 거래를 모니터링하고 소액 팁 지불자가 거래를 패키징할 수 있는 방식이 "샌드위치 공격"의 허점을 남기고 있다.

Solana 재단은 6월 10일에 30개 이상의 샌드위치 공격에 참여한 검증자를 삭제했다고 발표했다. 그러나 효과적으로 이 관리 방안은 큰 효과를 보지 못했다. PANews는 arsc의 거래 과정을 조사한 결과, 그들이 "샌드위치 공격"을 수행할 때 선택한 검증자 중 상당수가 Laine, Jito, Jupiter와 같은 대형 검증자임을 확인했다. 그리고 해당 주소의 공격 행위는 6월 14일까지 계속되었으며, Solana 재단의 처벌 관리 영향은 없는 것으로 보인다.（관련 기사: Solana 재단이 MEV 검증자에 대한 조치를 취했지만, 커뮤니티는 반발하며 관리 중앙화에 대한 불만을 표출）

"샌드위치 공격"도 사법 제재를 받을 수 있다

"샌드위치 공격"이 정말로 무위험 차익 거래일까? 답은 부정적이다. 이미 사례가 나타나고 있으며, 이러한 착취 행위는 법적 위험을 동반할 수 있다.

올해 5월, 미국 법무부는 Anton Pepaire-Bueno와 James Pepaire-Bueno 두 형제가 이더리움에서 복잡한 차익 거래 로봇의 취약점을 이용해 2500만 달러의 암호화폐를 훔친 혐의로 체포되었다고 발표했다.

아마도 사법적 위험 문제를 고려했는지, 현재 arsc 주소는 샌드위치 공격을 중단한 것으로 보이며, 수천 건의 소액 거래를 이용해 Solana 브라우저 기록을 갱신하여 이전 공격의 증거를 숨기려 하고 있다. 그러나 해당 주소의 관련 자산은 여전히 체인에 남아 있으며, 어떤 중앙화 거래소로도 이전되지 않았다.

현재 arsc의 공격 행위는 공분을 일으켰으며, 트위터에는 해당 주소의 배후 인물을 추적하기 위한 수백 개의 보상 제안 트윗이 올라오고 있다. 아마도 가까운 미래에 이 신비로운 공격자가 "정체를 드러내는" 순간이 심각한 사법적 처벌을 받을 때가 올 것이다.