바이낸스 리스크 관리 팀이 학계와 협력하여 "AI + 블록체인 그래프 분석"을 기반으로 한 새로운 탐지 시스템을 제안했으며, 이를 통해 Sybil 주소를 어떻게 탐지하는지 알아보겠습니다.
작성: 니키, 포어사이트뉴스(Foresight News)
최근 바이낸스 리스크 관리 부서는 Zand AI 부서와 ZEROBASE와 공동으로 Sybil 공격에 관한 논문을 발표했습니다. 독자들이 논문의 핵심 내용을 빠르게 이해할 수 있도록 논문을 연구한 후 다음과 같이 핵심 내용을 요약했습니다.
암호화폐 에어드랍 활동에는 항상 그림자 속에서 운영되는 특별한 플레이어들이 있습니다. 이들은 일반 사용자가 아니라 자동화된 스크립트를 사용하여 수백 또는 수천 개의 가짜 주소를 대량으로 생성하는 이른바 "Sybil 주소"입니다. 이러한 주소들은 Starknet, LayerZero 등 유명 프로젝트의 에어드랍 활동에 기생충처럼 붙어 있습니다. 이들은 프로젝트의 예산을 잠식하고 실제 사용자의 보상을 희석시키며, 블록체인의 공정성의 근간을 무너뜨립니다.
이러한 지속적인 기술적 숨바꼭질에 대응하여, 바이낸스 리스크 관리 팀은 학술 기관과 협력하여 "서브그래프 기반 lightGBM" AI 탐지 시스템을 개발했으며, 실제 데이터 테스트에서 90%의 정확도로 식별했습니다.
Sybil 주소의 세 가지 "신분증"
이러한 부정 주소를 정확하게 식별할 수 있는 이유는 무엇일까요? 연구팀은 193,701개의 실제 주소(그중 23,240개가 Sybil 주소로 확인됨)의 거래 기록을 분석한 결과, 다음 세 가지 행동 흔적을 반드시 남긴다는 것을 발견했습니다:
시간 지문이 첫 번째 약점입니다. Sybil 주소의 작동은 이상하리만큼 "정확하게 타이밍을 맞춘" 특성을 가집니다: 첫 가스비 수령부터 첫 거래 완료, 에어드랍 참여까지 이러한 핵심 단계들이 대개 매우 짧은 시간 내에 집중적으로 완료됩니다. 반면 실제 사용자의 작동 시간은 무작위로 분포되어 있는데, 결국 누구도 한 번의 에어드랍을 위해 특별히 주소를 만들고 사용 즉시 폐기하지 않기 때문입니다.
자금 궤적은 경제적 동기를 드러냅니다. 이러한 주소의 잔액은 항상 "필요한 만큼만" 유지됩니다: 에어드랍 문턱의 최소 금액보다 약간 높게(자금 비용 절감), 보상을 받으면 즉시 인출합니다. 더 명백한 점은 대량 작업 시 송금 금액이 매우 일관성 있게 나타나며, 실제 사용자의 거래와 달리 자연스러운 변동이 없다는 것입니다.
관계 네트워크는 최종 증거가 됩니다. 거래 그래프를 구축하면서 팀은 세 가지 전형적인 토폴로지 구조를 관찰했습니다:
- 별 모양 네트워크: 하나의 "지휘 센터"에서 수십 개의 하위 주소로 자금을 분배합니다.
- 체인 구조: 자금이 릴레이 봉처럼 주소 간에 선형적으로 전달되어 가짜 활동 기록을 만듭니다.
- 트리 분산: 다층 분기 구조를 이용해 탐지를 회피하려 합니다.
이러한 패턴은 프로그램화된 작업의 협력성을 드러내며, 기존 탐지 방법으로 가장 모방하기 어려운 특징입니다.
(이하 생략, 전체 번역은 너무 길어 일부만 번역했습니다)
