원문 저자: Dessislava Aubert, Anastasia Melachrinos
원문 편집: Block unicorn
2024년 10월 9일, 세 개의 MM(Market Making) 회사인 ZM Quant, CLS Global, MyTrade와 그들의 직원들이 암호화폐 회사 NexFundAI와 그 토큰에 대한 세금 거래와 공모 행위를 했다는 혐의를 받고 있습니다. 연방수사국(FBI)이 수집한 증거에 따르면 18명의 개인과 법인이 기소되었습니다.
이번 심층 분석에서는 NexFundAI 암호화폐의 온체인 데이터를 분석하여 다른 암호화폐에도 적용될 수 있는 세금 거래 패턴을 식별하고 일부 토큰의 유동성을 의문시할 것입니다. 또한 DeFi에서의 다른 세금 거래 전략과 중앙화 플랫폼에서 불법 활동을 식별하는 방법을 탐구할 것입니다.
마지막으로 한국 시장의 가격 조종 행위를 연구할 것이며, 이는 시장 효율성과 조작 사이의 경계를 모호하게 만듭니다.
FBI, 토큰 데이터에서 세금 거래 식별
NexFundAI는 2024년 5월 FBI가 설립한 회사가 발행한 토큰으로, 암호화폐 시장의 시장 조작 행위를 폭로하는 것을 목적으로 했습니다. 혐의를 받은 회사들은 고객을 대신하여 알고리즘 세금 거래, 가격 조종 등의 조작 행위를 했으며, 주로 유니스왑(Uniswap) 등의 DeFi 거래소에서 이루어졌습니다. 이러한 행위는 신규 발행 또는 시가총액이 작은 토큰을 대상으로 이루어졌으며, 활성화된 시장의 가짜 인상을 만들어 실제 투자자를 유치하고 토큰 가격을 높이며 인지도를 높이는 것이 목적이었습니다.
FBI 조사에서는 명확한 진술이 확보되었으며, 관련자들이 자신들의 운영 절차와 의도를 자세히 설명했습니다. 일부는 "이것이 우리가 유니스왑에서 MM(Market Making)하는 방식이다"라고 명시적으로 말했습니다. 그러나 이 사건은 구두 증거뿐만 아니라 DeFi의 세금 거래 실태를 데이터로 보여주고 있으며, 이에 대해 심층 분석하겠습니다.
FBI의 가짜 토큰 NexFundAI(Kaiko 코드: NEXF)의 데이터 탐색을 시작하기 위해 먼저 토큰의 온체인 전송 데이터를 확인할 것입니다. 이 데이터는 토큰 발행 이후의 전체 경로를 제공하며, 이 토큰을 보유한 모든 지갑과 스마트 컨트랙트 주소를 포함합니다.
데이터에 따르면 토큰 발행자가 토큰 자금을 MM 지갑으로 전송했고, 이 지갑은 다시 수십 개의 다른 지갑으로 자금을 분배했으며, 이 지갑들은 차트에서 진한 파란색 클러스터로 표시됩니다.
그 다음 이 자금은 발행자가 만든 유일한 이차 시장인 유니스왑에서 세금 거래에 사용되었으며, 이 시장은 차트 중앙에 위치하여 해당 토큰을 수신 및/또는 전송한 거의 모든 지갑의 교차점입니다(2024년 5월~9월).
이러한 발견은 FBI의 언더커버 "유인" 작전을 통해 밝혀진 정보를 뒷받침합니다. 혐의를 받은 회사들은 여러 봇과 수백 개의 지갑을 사용하여 세금 거래를 했으며, 초기 기회를 잡으려는 투자자들의 의심을 받지 않았습니다.
분석을 세부화하고 특정 지갑의 전송이 사기적인지 확인하기 위해, 특히 클러스터 내 지갑의 경우 각 지갑이 최초로 자금을 받은 날짜를 기록하고 NexFundAI 토큰 전송뿐만 아니라 전체 온체인 데이터를 관찰했습니다. 485개 지갑 샘플 중 148개 지갑(28%)이 최초로 자금을 받은 블록이 최소 5개 다른 지갑과 동일했습니다.
이러한 거래 패턴은 인지도가 낮은 토큰에서는 거의 불가능합니다. 따라서 최소 138개 주소가 거래 알고리즘과 관련되어 있고 세금 거래에 사용되었을 것으로 합리적으로 추정할 수 있습니다.
해당 토큰의 세금 거래를 더 확인하기 위해 유일한 이차 시장인 유니스왑 시장의 시장 데이터를 분석했습니다. 유니스왑 시장의 일일 거래량을 집계하고 매수/매도량을 비교한 결과, 두 값 사이에 놀라운 대칭성이 발견되었습니다. 이는 MM 회사가 이 시장에서 세금 거래에 참여한 모든 지갑 간에 매일 헤지 총액을 하고 있음을 나타냅니다.
개별 거래 수준에서 더 깊이 살펴보고 지갑 주소별로 거래에 태그를 지정한 결과, 일부 주소가 1개월 동안의 거래 활동에서 완전히 동일한 단일 거래(동일한 수량과 타임스탬프)를 실행했음을 발견했습니다. 이는 이러한 주소가 세금 거래 전략을 사용했으며 상호 관련되어 있음을 시사합니다.
추가 조사 결과, Kaiko의 Wallet Data 솔루션을 사용하여 이 두 주소가 온체인에서 직접 상호 작용하지 않았지만 동일한 지갑 주소 0x4aa6a6231630ad13ef52c06de3d3d3850fafcd70에서 WETH 자금을 제공받았음을 발견했습니다. 이 지갑 자체는 Railgun이라는 스마트 컨트랙트를 통해 자금을 얻었습니다. Railgun 웹사이트에 따르면 "RAILGUN은 전문 거래자와 DeFi 사용자를 위한 스마트 컨트랙트로, 암호화폐 거래에 프라이버시 보호를 추가하는 것을 목적으로 합니다." 이러한 발견은 이 지갑 주소가 시장 조작 등 숨기고 싶은 행동을 할 수 있음을 시사합니다.
DeFi 사기는 NexFundAI를 넘어섰다
DeFi의 조작 행위는 FBI 조사에 국한되지 않습니다. 우리의 데이터에 따르면 이더리움 탈중앙화 거래소에 20만 개 이상의 자산이 있지만, 많은 자산이 실제 용도가 없고 단일 개인이 통제하고 있습니다.
일부 이더리움에 토큰을 발행한 발행자들은 유니스왑에 단기 유동성 풀을 만듭니다. 이들은 풀 내 유동성을 통제하고 여러 지갑을 사용하여 세금 거래를 함으로써 풀의 매력을 높여 일반 투자자를 유치하고, 이더리움을 축적하며 자신의 토큰을 덤핑합니다. Kaiko의 Wallet Data에 따르면 4가지 암호화폐에 대한 분석 결과, 이러한 운영을 통해 초기 이더리움 투자의 약 22배 수익을 약 10일 만에 달성할 수 있습니다. 이 분석은 토큰 발행자 사이에 광범위하게 존재하는 사기 행위를 드러내며, FBI의 NexFundAI 조사를 넘어섭니다.
데이터 패턴: GIGA2.0 토큰 사례
한 사용자(예: 0x33ee6449b05193766f839d6f84f7afd5c9bb3c93)가 어떤 주소(예: 0x000)에서 새 토큰의 전체 공급량을 받아(그리고 시작했습니다).
사용자는 즉시(당일 내) 이 토큰과 일부 이더리움을 전송하여 새로운 유니스왑 V2 유동성 풀을 만들었습니다. 모든 유동성이 사용자가 제공했기 때문에 그는 자신의 기여를 나타내는 UNI-V2 토큰을 받았습니다.
평균적으로 10일 후 해당 사용자는 모든 유동성을 인출하고 UNI-V2 토큰을 소각하며 거래 수수료로 인한 추가 이더리움 수익을 인출했습니다.
이 4개 토큰의 온체인 데이터를 분석할 때 완전히 동일한 패턴이 반복되는 것을 발견했으며, 이는 자동화되고 반복적인 조작 작업이 오직 이익을 얻기 위한 목적으로 이루어졌음을 보여줍니다.
시장 조작은 DeFi에 국한되지 않는다
FBI 조사가 이러한 행위를 효과적으로 폭로했
그러나 중앙화 거래소에서 이러한 조작을 발견하기는 더 어렵습니다. 이러한 거래소는 시장 수준의 오더북과 거래 데이터만 표시하므로 가짜 거래를 정확하게 식별하기 어렵습니다. 그럼에도 불구하고 거래 패턴과 시장 지표를 거래소 간에 비교하면 문제를 발견하는 데 도움이 될 수 있습니다. 예를 들어 거래량이 유동성(1% 시장 깊이)을 크게 초과하는 경우 세탁 거래와 관련될 수 있습니다.
데이터에 따르면 HTX와 폴로닉스에서 거래량-유동성 비율이 100배 이상인 자산이 가장 많습니다. 일반적으로 밈(meme) 코인, 프라이버시 코인 및 시가총액이 작은 알트코인은 비정상적으로 높은 거래량-깊이 비율을 보입니다.
거래량-유동성 비율이 완벽한 지표는 아닙니다. 왜냐하면 거래량이 일부 거래소의 프로모션 활동(예: 수수료 면제 이벤트)으로 인해 크게 증가할 수 있기 때문입니다. 가짜 거래량을 더 정확하게 판단하기 위해서는 거래소 간 거래량 상관관계를 확인할 수 있습니다. 일반적으로 자산의 거래량 추세는 거래소 간에 관련되어 있고 장기적으로 일관성을 보입니다. 거래량이 장기적으로 단조롭거나 거래가 없는 기간이 길거나 거래소 간에 현저한 차이가 있는 경우 비정상적인 거래 활동이 있을 수 있습니다.
예를 들어 일부 거래소의 PEPE 토큰을 살펴보면 HTX와 다른 플랫폼 간의 2024년 거래량 추세 차이가 크게 나타납니다. HTX에서 PEPE의 거래량은 7월 동안 높은 수준을 유지했고 오히려 증가했지만, 대부분의 다른 거래소에서는 거래량이 감소했습니다.
거래 데이터를 더 자세히 분석하면 HTX의 PEPE-USDT 시장에서 알고리즘 거래가 활발한 것으로 나타났습니다. 7월 3일 하루 동안 1M PEPE의 매수/매도 주문이 4,200건 이상 체결되었고, 시간당 평균 약 180건이었습니다. 이러한 거래 패턴은 동기간 크라켄의 거래 양상과 대조적이었는데, 크라켄의 거래는 더 자연스럽고 소매 주도적이며 거래 규모와 시간도 불규칙했습니다.
7월 다른 며칠에도 유사한 패턴이 나타났습니다. 예를 들어 7월 9일부터 12일까지 2M PEPE의 매수/매도 거래가 5,900건 이상 체결되었습니다.
이러한 징후들은 자동화된 세탁 거래가 있었음을 나타냅니다. 여기에는 높은 거래량-깊이 비율, 비정상적인 주간 거래 패턴, 반복되는 고정 규모의 주문 및 신속한 실행 등이 포함됩니다. 세탁 거래에서는 동일한 주체가 동시에 매수/매도 주문을 내어 거래량을 인위적으로 늘려 시장 유동성이 더 높아 보이게 합니다.
시장 조작과 효율성 불균형의 미묘한 경계
암호화폐 시장의 시장 조작은 때때로 차익거래로 오해될 수 있습니다. 차익거래는 시장 효율성 불균형을 이용하여 이익을 얻는 것입니다.
예를 들어 한국 시장에서 '그물 끌기' 현상이 자주 발생합니다(개인 투자자를 끌어들여 자금을 빼내는 것). 거래자들은 입금 및 출금 일시 중지를 이용하여 자산 가격을 인위적으로 높여 이익을 얻습니다. 2023년에 발생한 한 전형적인 사례는 커브(CRV)의 네이티브 토큰이 일부 한국 거래소에서 해킹 공격으로 인해 거래가 일시 중지된 것입니다.
차트에 따르면 빗썸이 CRV 토큰의 입금 및 출금을 중지했을 때 대량의 매수 주문이 가격을 크게 상승시켰지만, 이후 매도가 시작되면서 가격이 빠르게 하락했습니다. 중지 기간 동안 매수로 인한 일시적 가격 상승이 반복적으로 나타났지만, 전반적으로 매도량이 매수량을 크게 초과했습니다.
중지가 해제되자 거래자들이 거래소 간에 쉽게 차익거래를 할 수 있어 가격이 빠르게 하락했습니다. 이러한 중지는 일반적으로 개인 투자자와 투기자들을 끌어들이는데, 그들은 유동성 제한으로 인해 가격이 상승할 것으로 예상합니다.
결론
암호화폐 시장의 시장 조작을 식별하는 것은 아직 초기 단계입니다. 그러나 과거 조사의 데이터와 증거를 활용하면 규제 기관, 거래소 및 투자자가 향후 시장 조작 문제에 더 잘 대응할 수 있습니다. DeFi 영역에서 블록체인 데이터의 투명성은 다양한 토큰의 세탁 거래를 탐지할 수 있는 독특한 기회를 제공하여 시장 청렴성을 점진적으로 높일 수 있습니다. 중앙화 거래소에서는 시장 데이터가 새로운 시장 남용 문제를 드러낼 수 있으며, 일부 거래소의 이익이 공공의 이익과 점차 일치하게 될 것입니다. 암호화폐 산업이 발전함에 따라 모든 가용 데이터를 활용하여 불법 행위를 줄이고 더 공정한 거래 환경을 조성할 수 있습니다.
