FBI “유인” 작전 심층 탐구: DEX에서 CEX까지 세탁 거래가 일반적으로 존재함

저자：연구 회사 Kaiko

편집: Felix, PANews

10월 9일, 세 개의 시장 조성업체(ZM Quant, CLS Global 및 MyTrade)와 그 일부 직원들이 NexFundAI 토큰 및 암호화 엔티티를 대신하여 공모 허위 거래를 한 혐의로 기소되었습니다. FBI(연방수사국)가 제공한 증거에 따르면 총 18명의 개인 및 단체가 기소되었습니다.

이 글에서는 NexFundAI 토큰의 온체인 데이터를 심층 분석하여 다른 토큰으로 확장할 수 있는 허위 거래 패턴을 식별하고 특정 토큰의 유동성에 의문을 제기합니다. 또한, DeFi에서의 다른 허위 거래 전략과 중앙화 플랫폼에서 불법 활동을 발견하는 방법을 탐구하며, 마지막으로 한국 시장에서의 가격 조작 등을 연구합니다.

FBI 토큰 데이터에서 허위 거래 식별하기

NexFundAI는 FBI가 2024년 5월에 설립한 회사가 발행한 토큰으로, 암호화 시장의 시장 조작 행위를 폭로하기 위해 만들어졌습니다. 기소된 회사는 고객을 대신하여 알고리즘 허위 거래, 가격 조작 및 매도 계획, 그리고 기타 조작 전략을 수행하며, 일반적으로 Uniswap과 같은 거래소에서 이루어집니다. 이러한 행위는 새로 발행된 또는 소형 토큰을 대상으로 하여 활발한 시장의 허상을 만들어 진짜 투자자를 유치하고 토큰의 가격과 인지도를 높입니다.

관련자들은 FBI의 조사에 대해 솔직하게 인정했으며, 관련자들은 그들의 프로세스와 의도를 명확히 설명했습니다. 일부는 "이것이 우리가 Uniswap에서 시장 조성하는 일관된 방식입니다"라고 확인했습니다.

FBI의 허위 토큰 NexFundAI에 대한 데이터 탐색을 위해, 이 글에서는 토큰의 온체인 전송을 검사합니다. 이 데이터는 발행부터 이 토큰을 보유한 각 지갑 및 스마트 계약 주소에 대한 완전한 정보를 제공합니다.

데이터에 따르면, 토큰 발행자는 토큰으로 시장 조성업체의 하나의 지갑에 자금을 제공한 후, 해당 지갑은 자금을 수십 개의 지갑으로 재분배합니다. 이 지갑들은 짙은 파란색으로 강조된 클러스터로 식별됩니다.

그 후, 이 자금은 토큰의 유일한 2차 시장에서 세탁 거래에 사용되며, 이 시장은 발행자가 Uniswap에서 생성한 것으로, 그래프 중앙에는 2024년 5월부터 9월 사이에 이 토큰을 수신 및/또는 전송한 거의 모든 지갑의 집합점이 표시됩니다.

이 발견은 FBI의 조사를 추가로 확인합니다. 기소된 회사는 여러 로봇과 수백 개의 지갑을 사용하여 허위 거래를 수행했습니다.

분석을 완성하고 특정 지갑(특히 클러스터 내의 지갑)의 전송의 사기성을 확인하기 위해, 이 글에서는 각 지갑이 받은 첫 번째 전송의 날짜를 확인하고 NexFundAI 토큰 전송뿐만 아니라 전체 체인을 살펴보았습니다. 데이터에 따르면, 485개의 지갑 중 148개(28%)가 샘플 내에서 최소 5개의 다른 지갑과 동일한 블록에서 처음으로 자금을 확보했습니다.

이러한 미지의 토큰을 거래하는 주소는 자연스럽게 이러한 패턴을 보일 가능성이 낮습니다. 따라서 최소한 이 138개의 주소는 거래 알고리즘과 관련이 있을 수 있으며, 세탁 거래에 사용될 가능성이 있습니다.

이 토큰과 관련된 세탁 거래를 추가로 확인하기 위해, 이 토큰의 유일한 존재하는 2차 시장의 시장 데이터를 검사합니다. 이 Uniswap 시장에서의 일일 거래량을 집계하고 매수 및 매도량을 비교한 결과, 두 가지 사이에 놀라운 대칭성이 발견되었습니다. 이러한 대칭성은 시장 조성업체가 매일 이 시장에서 세탁 거래를 수행하는 모든 지갑의 총액을 상쇄하고 있음을 나타냅니다.

개별 거래를 관찰하고 지갑 주소에 따라 거래를 색칠한 결과, 일부 주소가 한 달의 거래 활동 중에 완전히 동일한 단일 거래(동일한 금액, 동일한 시점)를 수행한 것으로 나타났습니다. 이는 이러한 주소가 관련이 있으며 허위 거래 전략이 존재함을 나타냅니다.

Kaiko의 지갑 데이터 솔루션을 사용하여 추가 조사를 진행한 결과, 이 두 주소는 체인에서 상호작용한 적이 없지만 모두 동일한 지갑 주소 0x4aa6a6231630ad13ef52c06de3d3d3850fafcd70에 의해 WETH 토큰으로 자금을 지원받고 있음을 발견했습니다. 이 지갑 자체는 Railgun의 스마트 계약에 의해 자금을 지원받고 있습니다. Railgun 웹사이트에 따르면, "Railgun은 전문 거래자와 DeFi 사용자에게 암호화 거래에 대한 프라이버시 보호를 추가하는 스마트 계약입니다." 이러한 발견은 지갑 주소가 시장 조작 또는 더 나쁜 행동과 같은 비밀을 숨기고 있음을 나타냅니다.

DeFi 사기는 NexFundAI에 국한되지 않음

DeFi의 조작 행위는 FBI의 조사에 국한되지 않습니다. 데이터에 따르면, 이더리움 DEX에서 20만 개 이상의 자산 중 많은 수가 실용성이 부족하며 개인이 통제하고 있습니다.

이더리움에서 발견된 일부 토큰 발행자는 Uniswap에서 단기 유동성 풀을 구축하고 있습니다. 풀의 유동성을 통제하고 여러 지갑과 세탁 거래를 수행하여 풀의 일반 투자자에 대한 매력을 높이고 ETH를 축적하며 그들의 토큰을 매도합니다. 보여준 바와 같이, 약 10일 내에 22배의 초기 ETH 투자가 발생했습니다. 이 분석은 토큰 발행자들 사이에서 일반적으로 존재하는 사기 행위를 드러내며, 그 범위는 FBI의 NexFundAI 조사보다 넓습니다.

데이터 패턴: GIGA 2.0 토큰 예시

사용자(예: 0x33ee6449b05193766f839d6f84f7afd5c9bb3c93)는 주소(예: 0x000)에서 새로운 토큰의 전체 공급량을 수신(및 시작)합니다.

사용자는 즉시(하루 이내) 토큰과 일부 ETH를 전송하여 새로운 Uniswap V2 풀을 생성합니다. 이 풀은 모든 유동성을 보유하고 있으며, 그 기여를 나타내는 UNI-V2 토큰을 획득합니다.

평균 10일 후, 사용자는 모든 유동성을 철회하고 UNI-V2 토큰을 소각하며 풀의 거래 수수료에서 얻은 추가 ETH를 수령합니다.

이 네 가지 토큰의 온체인 데이터를 검사할 때, 완전히 동일한 패턴이 발견됩니다. 이는 누군가가 자동화되고 반복적인 계획을 통해 조작을 정교하게 계획하고 있으며, 그 유일한 목적은 이익을 얻는 것임을 증명합니다.

시장 조작은 DeFi에만 국한되지 않음

FBI의 방법이 이러한 관행을 효과적으로 폭로했지만, 시장 남용은 암호화폐에 있어 새로운 것이 아니며 DeFi에만 국한되지 않습니다. 2019년, 시장 조성업체 Gotbit의 CEO는 암호화 프로젝트를 "위장"하는 비윤리적인 사업을 공개적으로 논의하며, 소형 거래소의 인센티브를 이용하여 그들의 플랫폼에서 조작을 수행했습니다. Gotbit CEO와 두 명의 이사는 여러 암호화폐와 관련된 유사한 계획으로 기소되었습니다.

그러나 중앙화 거래에서 이러한 조작을 발견하는 것은 비교적 어렵습니다. 이러한 거래소는 시장 수준의 주문 및 거래 데이터만 표시하므로 허위 거래를 식별하기가 어렵습니다. 그러나 각 거래소의 거래 패턴과 시장 지표를 비교하여 보조적으로 확인할 수 있습니다. 예를 들어, 거래량이 자산 및 거래소의 유동성(1%의 시장 깊이)을 크게 초과하는 경우, 이는 세탁 거래로 인한 것일 수 있습니다. 일반적으로 Meme 코인, 프라이버시 토큰 및 저시가 산체코인과 같은 토큰은 비정상적으로 높은 거래량 깊이 비율을 보입니다.

거래량과 유동성 비율은 완벽한 지표가 아니라는 점에 유의해야 합니다. 거래량은 거래소의 거래량을 증가시키기 위한 거래소 계획(예: 제로 커미션 이벤트)의 심각한 영향을 받을 수 있습니다.

거래량의 교차 거래소 상관관계를 검사할 수 있습니다. 특정 자산의 거래량 추세는 종종 여러 거래소 간에 장기적으로 상관관계가 있습니다. 일관된 단조로운 거래량, 제로 거래량 기간 또는 서로 다른 거래소 간의 차이는 비정상 거래 활동의 신호일 수 있습니다.

예를 들어, PEPE(일부 거래소에서 거래량과 깊이 비율이 높은 경우)를 연구할 때, 특정 익명의 거래소와 다른 플랫폼 간의 거래량 추세에 큰 차이가 있음을 발견했습니다. 해당 거래소의 PEPE 거래량은 높은 수준을 유지하며, 7월에는 증가세를 보였으나, 다른 대부분의 거래소의 PEPE 거래량은 감소했습니다.

더 자세한 거래 데이터는 알고리즘 거래자가 해당 거래소의 PEPE-USDT 시장에서 활발히 활동하고 있음을 보여줍니다. 7월 3일, 24시간 내에 4,200건의 100만 PEPE의 매수 및 매도 주문이 있었습니다.

동일한 거래 쌍은 7월의 다른 거래일에도 유사한 패턴을 보였으며, 자동 거래 활동을 확인했습니다. 예를 들어, 7월 9일부터 12일 사이에 5,900건 이상의 200만 PEPE의 매매 거래가 실행되었습니다.

자동 세탁 거래가 발생할 가능성을 나타내는 몇 가지 신호가 있습니다. 이러한 신호에는 높은 거래량 깊이 비율, 비정상적인 주간 거래 패턴, 고정 규모 및 빠른 실행의 반복 주문이 포함됩니다. 허위 거래에서 한 개체는 동시에 매수 및 매도 지시를 내려 거래량을 허위로 증가시켜 시장을 더 유동적으로 보이게 합니다.

시장 조작과 비효율의 경계는 모호함

암호화 시장에서의 시장 조작은 때때로 차익 거래로 오해받기도 하며, 이는 거래자가 시장 비효율로부터 이익을 얻는 것입니다.

한국 시장의 "Fishing Net Pumping"이 그 예입니다. 거래자는 입금 및 출금의 일시적인 중단을 이용하여 자산 가격을 인위적으로 높이고 이익을 얻습니다. 주목할 만한 예로, 2023년 해킹 공격 후 CRV 토큰의 거래가 몇몇 한국 거래소에서 중단되었습니다.

어떤 거래소가 CRV 토큰의 입출금을 중단할 때, 대량 구매로 인해 가격이 처음에 급등했습니다. 그러나 매도가 시작되면서 가격은 빠르게 하락했습니다. 중단 기간 동안 구매로 인해 가격이 몇 차례 짧게 상승했지만, 이후에는 항상 매도가 발생했습니다. 전반적으로 매도가 구매보다 많았습니다.

중단이 끝나면 가격은 빠르게 하락하게 되며, 거래자는 거래소 간에 쉽게 매매하여 이익을 얻을 수 있습니다. 유동성이 제한된 이러한 중단은 일반적으로 소액 투자자와 투기자를 끌어들이며, 그들은 가격이 상승할 것으로 예상합니다.

결론

암호화 시장의 시장 조작을 식별하는 방법에 대한 연구는 아직 초기 단계에 있습니다. 그러나 과거 조사 데이터와 증거를 결합하면 규제 기관, 거래소 및 투자자가 미래에 이 문제를 더 잘 해결하는 데 도움이 될 수 있습니다. DeFi에서는 블록체인 데이터의 투명성이 모든 토큰의 세탁 거래를 감지할 수 있는 독특한 기회를 제공하며, 점진적으로 시장의 신뢰성을 높이고 있습니다.

중앙화 거래소에서는 시장 데이터가 새로운 시장 남용 문제를 부각시킬 수 있으며, 점진적으로 일부 거래소의 인센티브를 공공의 이익과 일치시킬 수 있습니다. 암호화 산업이 발전함에 따라, 모든 사용 가능한 데이터를 활용하여 유해한 관행을 줄이고 더 공정한 거래 환경을 조성하는 데 도움이 될 수 있습니다.