500만 달러의 도난 자금이 거부당하고, 믹서 Railgun이 DeFi 프로토콜의 "추적 도구"가 되다?

저자: Ashley, BlockBeats

해커의 범죄 수익, 강제로 반환될 수 있을까?

2월 12일, Starknet의 대출 프로토콜 zkLend가 해킹당해 거의 500만 달러의 손실을 입었습니다. 그러나 해커는 Railgun에 돈을 섞은 후, 마지막 세탁 단계에서 Railgun의 프로토콜 정책에 의해 강제로 반환될 것이라고는 예상하지 못했습니다.

사건 발생 후, zkLend는 남은 자금의 안전을 보장하기 위해 출금 서비스를 중단하고, 팀이 여러 협력자와 함께 해커의 신원과 자금 흐름을 적극적으로 추적하고 있으며, 투명성을 유지하겠다고 커뮤니티에 발표했습니다. 최종적으로는 상세한 조사 분석 보고서를 발표할 것이라고 약속했습니다. 또한, zkLend는 해커에게 10%의 자금을 화이트 해커 보상으로 보유할 수 있도록 제안하고, 나머지 90% (3,300 ETH)를 zkLend의 이더리움 주소로 반환할 것을 요청했습니다. 송금이 완료되면 공격과 관련된 모든 책임을 면제하겠다고 동의했습니다.

발행 시점까지 해커가 이 제안에 응답했다는 정보는 없으며, zkLend는 소셜 미디어에 홍콩 경찰, 미국 연방 수사국 및 국토안보부에 사건 보고서를 제출했다고 발표하며 사법 절차를 시작할 것이라고 밝혔습니다.

2월 13일, Railgun을 지지해온 이더리움 공동 창립자 Vitalik이 소셜 미디어에 Railgun이 이번에 어떻게 범죄 수익 자금을 성공적으로 처리하지 않았는지에 대해 설명하는 글을 올렸습니다.

Vitalik의 글 이후, 시장은 이 소식에 매우 민감하게 반응했으며, Railgun은 즉각 상승했습니다. 시장 데이터에 따르면, 발행 시점까지 지난 24시간 동안 Railgun의 상승폭은 7.00%였고, 거래량은 162.31% 증가했습니다.

온체인 반자금세탁, Railgun은 어떻게 이루어졌는가?

반자금세탁 정책 프로토콜인 Railgun을 언급할 때, 믹싱 서비스의 선두 프로젝트인 Tornado Cash를 빼놓을 수 없습니다.

Tornado Cash와 Railgun은 모두 프라이버시 분야에 속하며, 믹싱 서비스를 제공하는 첫 번째 프로젝트입니다. 그 프라이버시 보호 특성 덕분에 해커와 범죄자들이 자금을 세탁하고 숨기는 도구로 사용되었고, 각국 정부와 규제 기관의 주목을 받았습니다. 특히 미국 재무부 해외 자산 통제 사무소(OFAC)로부터 제재를 받았습니다.

2022년 8월, 미국 재무부는 Tornado Cash에 대해 제재를 시행하며, 이 서비스가 지난 3년 동안 70억 달러 이상을 세탁했으며, 북한 국영 해커 조직 Lazarus Group이 미국의 처벌을 피하는 데 도움을 주었다고 밝혔습니다. 2024년 5월, Tornado Cash의 공동 창립자이자 핵심 개발자인 Alexey Pertsev는 5년 4개월의 징역형을 선고받았습니다.

Tornado Cash는 반자금세탁 기능이 없기 때문에 해커와 자금세탁 범죄자들에게 유용한 도구가 되었습니다. 규제 기관의 강력한 조치는 프라이버시 분야 전체에 경종을 울렸습니다. Tornado Cash의 전례를 통해, 프라이버시 분야의 두 번째 주자인 Railgun은 교훈을 얻고, 개선 방향이 명확해졌습니다: 반자금세탁.

Railgun은 더욱 엄격한 반자금세탁 전략을 채택하여 프라이버시 보호와 동시에 규정 준수를 강화하는 데 집중했습니다. 이 전략의 핵심은 플랫폼이 사용자 프라이버시를 유지하면서도 규제 요구에 효과적으로 대응하여 자금이 불법 활동에 사용되지 않도록 하는 것입니다. 다음은 Railgun이 채택한 구체적인 조치입니다:

첫 번째 단계로, Railgun은 코드 최적화에만 집중하지 않고, 규제 기관 및 준수 플랫폼 등에서 블랙리스트를 정리했습니다. 블랙리스트에는 자금세탁, 사기, 제재 위반 등 불법 활동과 관련된 거래 데이터가 포함되어 있으며, 이러한 전과가 있으면 정확한 타겟을 설정할 수 있습니다.

두 번째 단계로, 모든 사용자가 입금한 후 1시간의 검토 기간이 있으며, 이 기간 동안 다양한 알고리즘이 해당 입금이 블랙리스트에서 유래했을 가능성을 분석합니다. 전체 과정은 완전히 암호화되어 있으며, "연관 여부"의 결론만 출력되고, 사용자 주소, 거래 내역 또는 잔액과 같은 민감한 정보는 유출되지 않아 기술적으로 사용자 프라이버시가 침해되지 않도록 보장합니다.

세 번째 단계로, 1시간 후 사용자는 제로 지식 증명(ZKP)을 사용하여 비공식 출금을 할 수 있습니다. 또한, Railgun의 내부 프로토콜 정책에 따르면, 블랙리스트 주소가 믹싱을 시도할 경우 해당 의심 주소의 자금은 강제로 반환됩니다.

마지막으로, Railgun은 적극적으로 규정을 준수합니다. 모든 사용자 지갑에서 생성된 증명은 거래소나 규제 기관에 제공될 수 있으며, 이러한 제3자 기관은 검증 알고리즘을 통해 증명의 유효성을 확인할 수 있습니다. 이 과정에서 사용자 자금의 흐름, 지갑 활동 세부 사항 또는 신원 데이터에 대한 접근 없이도 가능합니다. 이 메커니즘은 외부 기관의 거래 준수 검토 요구를 충족시키면서도 사용자 프라이버시 유출의 위험을 완전히 피할 수 있게 합니다. "신뢰할 필요 없는 자가 증명"을 실현한 것입니다.

바로 이러한 프라이버시 보호, 규정 준수 메커니즘과 리스크 관리 전략의 조합이 이번 zkLend 사건에서 공격자의 자금세탁을 차단하는 마지막 방어선이 되었습니다.

슬로우미스트의 창립자도 "이는 훌륭한 프라이버시 솔루션입니다."라고 언급했습니다.

프라이버시 분야, 미래는 어떻게 될 것인가?

Railgun은 규정을 준수하며 방어선을 구축하는 동시에, 미국의 규제 정책은 다소 완화된 것처럼 보입니다.

작년 11월 27일, 미국 제5 순회 법원은 미국 재무부의 Tornado Cash 스마트 계약에 대한 제재가 불법이라고 판결했습니다. 암호화폐와 자유를 수호하는 모든 이들에게 이는 역사적인 승리입니다. Uniswap의 창립자는 이를 "불변의 스마트 계약이 법원에서 재무부를 이겼다."고 표현했습니다.

이 판결이 프라이버시 분야에서 점점 더 많은 "코드는 무죄"라는 구호를 외치며 실질적으로 범죄를 조장하는 프로젝트를 낳을 것인가?

어쨌든, 트럼프 행정부 이후 현재 암호화폐 규제가 점점 더 명확해지는 대환경 속에서, 프라이버시와 규정을 동시에 갖춘 Railgun은 이 분야 발전의 본보기를 제시하고 있습니다.