Nicky, Foresight News 작성
본 논문은 "블록체인 에어드랍에서 시빌 주소 탐지: 서브그래프 기반 기능 전파 및 융합 접근법" 논문의 내용을 기반으로 작성되었습니다.
최근 바이낸스 위험 관리 부서, 잔드 AI 부서, 그리고 제로베이스가 Sybil어택 공격에 관한 논문을 공동으로 발표했습니다. 독자들이 논문의 핵심 내용을 빠르게 이해할 수 있도록, 저자는 논문을 읽은 후 논문의 핵심 내용을 다음과 같이 요약했습니다.
암호화폐 에어드랍 에는 항상 그림자 속에서 활동하는 특수 플레이어 집단이 있습니다. 이들은 일반 사용자가 아니라 자동화된 스크립트를 사용하여 수백 개 또는 수천 개의 가짜 주소, 즉 악명 높은 "Sybil어택 주소"를 대량으로 생성합니다. 이 주소들은 스타크넷이나 레이어제로와 같은 유명 프로젝트의 에어드랍 에 붙어 있는 기생충과 같습니다. 이들은 프로젝트 참여자들의 예산을 낭비하고, 실제 사용자의 보상을 희석시키며, 블록체인의 공정성 기반을 훼손합니다.
이러한 지속적인 기술적 고양이와 쥐의 게임 대면, 바이낸스 위험 관리 팀은 학술 기관과 협력하여 "서브그래프 기반 lightGBM"이라는 AI 감지 시스템을 개발했습니다. 이 시스템의 실제 데이터 테스트에서 식별 정확도는 90%입니다.
Sybil어택 주소가 적힌 세 장의 "신분증"
이러한 사기성 주소가 정확하게 타겟팅될 수 있는 이유는 무엇일까요? 연구팀은 193,701개의 실제 주소(그중 23,240개가 Sybil어택 주소로 확인됨)의 거래 기록을 분석한 결과, 이 주소들이 세 가지 유형의 행동 흔적을 남긴다는 것을 발견했습니다.
시간 지문이 주요 결함입니다. Sybil어택 주소의 작동 방식은 특이한 "정확한 카드 포인트" 기능을 가지고 있습니다. 가스 수수료 첫 수령부터 첫 거래 완료, 에어드랍 참여까지 이러한 핵심 단계들이 보통 매우 짧은 시간 안에 집중적으로 완료됩니다. 반면, 실제 사용자의 작동 시간 분포는 무작위입니다. 에어드랍 받기 위해 주소를 생성하고 사용 후 바로 폐기하는 사람은 아무도 없을 테니까요.
자금 추적은 경제적 동기를 드러냅니다. 이 주소들의 잔액 항상 "적당한" 수준으로 유지됩니다. 이는 에어드랍 최소 금액보다 약간 높은 수준(자금 비용 절감)이며, 보상금을 수령하면 신속하게 이체됩니다. 더욱 분명한 것은, 실제 사용자 거래의 자연스러운 변동과는 달리, 일괄적으로 처리될 경우 이체 금액이 매우 일정하게 유지된다는 것입니다.
관계 네트워크는 궁극적인 증거가 됩니다. 연구팀은 거래 그래프를 구축함으로써 세 가지 전형적인 위상 구조를 관찰했습니다.
스타 네트워크: "지휘 센터"가 수십 개의 하위 주소에 자금을 분배합니다.
체인 구조: 자금은 마치 지휘봉처럼 주소 사이에서 선형적으로 전달되어 활성 기록을 위조합니다.
트리 확산: 감지를 피하기 위해 다층 분기 구조를 사용합니다.
이러한 패턴은 프로그래밍된 작업의 시너지 효과를 보여주는데, 이는 기존 탐지 방법으로는 모방하기 가장 어려운 특징이기도 합니다.
2중 네트워크: AI 형사의 범죄 해결 도구
블록체인 전체의 거래 데이터를 추적하는 것은 마치 건초더미에서 바늘 찾기와 같습니다. 연구팀은 마치 탐정 수사처럼 대상자(주소 A)뿐만 아니라 그의 직접적인 연락처(A에게 송금한 주소, A가 송금한 주소)와 이러한 연락처의 관련자(2차 관계)까지 확인하는 이중 계층 거래 하위 그래프 모델을 채택했습니다.
더 중요한 것은, 원래의 "특징 융합 기술"이 이웃 주소의 행동 특성을 대상 주소의 "행동 프로파일"로 통합한다는 것입니다. 예를 들어, 특정 주소의 모든 관련 당사자가 이체한 금액의 최소값, 최대값, 평균값, 그리고 변동 범위를 계산하여 자본 흐름 법칙을 나타내는 복합 지표를 형성합니다. 또는 이웃의 유입 차수와 유출 차수(관련 주소의 수)를 계산하여 네트워크 밀도를 결정합니다. 이러한 설계를 통해 시스템은 580만 건 이상의 거래를 분석할 때 높은 효율성을 유지하며, 기존 네트워크 전체의 데이터 추적 방식에서 발생하는 연산 장애를 방지합니다.
전투 테스트: 바이낸스 에어드랍 에서 "유령"을 잡는 방법
이 시스템은 바이낸스 소울바운드 토큰(BAB)의 실제 에어드랍 데이터를 기반으로 테스트되었습니다. BAB는 바이낸스가 2022년에 출시한 소울바운드 토큰입니다. KYC를 완료한 실제 사용자의 신원을 확인하는 데 사용되므로, Sybil어택) 행위를 탐지하는 데 이상적인 테스트 환경입니다.
연구팀은 먼저 수동 분석 및 클러스터링을 통해 의심스러운 주소를 걸러내고, 최종 Sybil어택 주소 라벨을 확인하기 위한 불만 검토 메커니즘을 구축했습니다. 데이터 정제 과정에서 기관 주소(예: 거래소 핫월렛), 스마트 컨트랙트, 그리고 1년 이상 유지된 주소(Sybil어택 탐지를 피하기 위해 종종 이전 주소를 삭제합니다)는 제외하여 데이터 세트의 순수성을 확보했습니다.
결과는 새로운 방법이 세 가지 유형의 부정행위 네트워크를 식별하는 데 높은 정확도를 달성했다는 것을 보여줍니다.
스타 네트워크 인식률 99% (기존 방식 최대 95%)
사슬구조 인식률 100% (기존 방식 최대 95%)
수목 확산 인식률 97% (기존 방식 최대 95%)
네 가지 핵심 지표 모두 0.9를 초과했습니다. 정확도는 0.943(기존 최적 모델은 0.796), 재현율은 0.918(Sybil어택 주소의 91% 이상이 캡처됨), F1 종합 점수는 0.930, AUC 값은 0.981(완벽에 가까운 분류)을 달성했습니다. 이는 이 프로젝트가 실제 사용자에게 실수로 피해를 입힐 리스크 크게 줄이고 부정행위의 허점을 막을 수 있음을 의미합니다.
기술적 경계와 미래의 전장
이 기술은 현재 주로 장기 에어드랍 시나리오(예: 단계적으로 발행되는 소울바운드 토큰)에 적용 가능합니다. 이러한 활동은 AI 학습에 필요한 충분한 레이블링된 데이터를 축적할 수 있기 때문입니다. 블록체인 호환성 측면에서는 이더 가상 머신(EVM) 호환 체인(예: BNB 체인, 폴리곤)을 지원하며, 비트코인과 같은 UTXO 모델 체인에는 적용할 수 없습니다. 그러나 이 논문은 높은 가스 비용으로 인해 UTXO 체인에서 에어드랍 활동이 거의 수행되지 않으며, 실제 영향은 제한적이라고 지적합니다.
연구팀은 이 기술의 잠재력이 에어드랍 분야를 훨씬 뛰어넘는다고 강조했습니다. 거래 네트워크와 행동 패턴을 통해 이상 징후를 식별할 수 있기 때문에 다음과 같은 분야에도 적용될 수 있습니다.
시장 조작(펌프 앤 덤프에서의 주소 조정 등)을 감지합니다.
토큰 유동성 리스크 평가합니다(가짜 거래 쌍을 식별합니다).
온체인 신용 평가 시스템을 구축합니다.
Sybil어택 공격 전략이 계속 진화함에 따라 Web3의 공정성을 보호하기 위한 이러한 기술적 군비 경쟁은 탐지 시스템이 더욱 스마트하고 보편적인 방향으로 반복적으로 발전하도록 이끌 것입니다.
