암호화폐 시장 조작 폭로 가격 상승 뒤에 숨겨진 힘 분석하기

글: 데시슬라바 오베르, 아나스타샤 멜라크리노스

컴파일: 블록 유니콘

2024년 10월 9일, ZM 퀀트, CLS 글로벌, 마이트레이드 등 세 개의 마켓 메이커와 그 직원들이 암호화폐 회사와 토큰을 대리하여 행동한 혐의로 기소되었습니다. 스와이프 거래 및 음모 혐의로 넥스펀드AI. 미국 연방수사국(FBI)이 수집한 증거를 바탕으로 총 18명의 개인과 단체가 혐의를 받고 있습니다.

이 심층 분석에서는 넥스펀드AI 암호화폐의 온체인 데이터를 분석하여 다른 암호화폐로 확장될 수 있는 스와이프 거래 패턴을 파악하고 특정 토큰의 유동성에 대해 의문을 제기할 것입니다. 또한 탈중앙 금융의 대체 스와이프 전략과 중앙화된 플랫폼에서 불법적인 활동을 식별하는 방법도 살펴볼 것입니다.

마지막으로, 시장 효율성과 조작 사이의 경계를 모호하게 만드는 한국 시장의 가격 끌어올리기 행위에 대해서도 살펴볼 것입니다.

FBI, 토큰 데이터에서 스와이프 거래 식별

넥스펀드AI는 2024년 5월 암호화폐 시장의 시장 조작을 폭로하기 위해 FBI가 만든 회사에서 발행한 토큰입니다. . 이 회사는 주로 유니스왑과 같은 탈중앙 금융 거래소에서 고객을 대신해 알고리즘 스와이프 거래와 풀업(pull-up) 같은 조작 행위에 관여한 혐의를 받고 있습니다. 이러한 행위는 새로 발행된 토큰이나 소형주 토큰을 대상으로 하며, 실제 투자자를 유치하기 위해 활발한 시장이라는 환상을 조성하고 궁극적으로 토큰의 가격과 가시성을 끌어올립니다.

FBI의 수사를 통해 관련자들의 명확한 진술이 확보되었으며, 이들의 운영 단계와 의도가 자세히 설명되어 있습니다. 심지어 일부는 "이것이 우리가 유니스왑에서 시장을 만드는 방법"이라고 명시적으로 언급하기도 했습니다. 하지만 이 사건은 구두 증거뿐만 아니라 디파이 사기 거래의 실체를 보여주는 데이터도 제공하고 있으며, 이에 대해서는 다음에서 자세히 살펴보겠습니다.

우리는 먼저 FBI의 가짜 토큰 넥스펀드AI(카이코 코드: NEXF)에 대한 데이터 탐색을 시작하기 위해 먼저 토큰의 온체인 전송 데이터를 살펴볼 것입니다. 이 데이터는 토큰을 보유하고 있는 모든 지갑과 스마트 컨트랙트의 주소를 포함하여 토큰 발행부터 완전한 경로를 제공합니다.

데이터에 따르면 토큰 발행자는 토큰 자금을 마켓 메이커 지갑으로 이체했고, 이 지갑은 다시 수십 개의 다른 지갑에 자금을 분배했으며, 차트에서 진한 파란색으로 집계된 그룹으로 식별할 수 있습니다.

이 자금은 발행자가 만든 유일한 2차 시장에서 스와이프 거래에 사용되었으며, 차트 중앙에 위치하며 토큰을 받거나 전송하는 거의 모든 지갑의 교차점인 Uniswap에서 이루어졌습니다( 2024년 5월에서 9월 사이).

이러한 발견은 FBI가 위장 '함정' 작전을 통해 밝혀낸 내용을 더욱 확증합니다. 이 혐의 회사는 여러 개의 봇과 수백 개의 지갑을 사용하여 초기 기회를 포착하려는 투자자들의 의심을 받지 않고 스와이프 거래를 수행했습니다.

분석을 구체화하고 특정 지갑, 특히 집계된 그룹 내에서의 이체의 사기성을 확인하기 위해 각 지갑이 처음 이체를 받은 날짜를 기록하여 넥스펀드AI 토큰 이체뿐만 아니라 전체 데이터 체인을 살펴봤습니다. 데이터에 따르면 표본의 485개 지갑 중 148개 지갑(또는 28%)이 최소 5개 이상의 다른 지갑과 같은 블록에서 처음으로 자금을 조달한 것으로 나타났습니다.

이렇게 잘 알려지지 않은 토큰의 경우 토큰의 경우 이러한 거래 패턴의 출현은 거의 불가능합니다. 따라서 적어도 이 138개의 주소는 거래 알고리즘과 연관되어 있으며 스와이프 거래에 사용될 수 있다고 가정하는 것이 합리적입니다.

토큰과 관련된 스와이프 거래를 추가로 확인하기 위해 해당 토큰이 존재하는 유일한 2차 시장의 시장 데이터를 분석했습니다. 유니스왑 시장의 일일 거래량을 집계하고 매수 및 매도 거래량을 비교한 결과, 두 시장 사이에 놀라운 대칭성을 발견했습니다. 이 대칭성은 시장 조성자가 스와이프 거래에 참여하는 모든 지갑 사이에서 매일 해당 시장에서 거래되는 총 금액을 헤지한다는 것을 의미합니다.

개별 거래 수준 자세히 살펴보기

지갑 주소별로 거래를 색상으로 구분한 결과, 특정 주소가 한 달간의 거래 활동에서 동일한 단일 거래(동일한 거래량과 타임스탬프)를 실행하는 것을 발견했으며, 이는 해당 주소가 스와이프 전략을 사용하고 있음을 암시하는 동시에 해당 주소가 서로 연결되어 있음을 시사합니다.

추가 조사 결과 다음과 같은 사실이 밝혀졌습니다. 카이코의 월렛 데이터 솔루션을 사용하여 두 주소가 체인에서 직접 상호 작용하지 않았음에도 불구하고 동일한 지갑 주소인 0x4aa6a6231630ad13ef52c06de3d3d3850fafcd70에서 WETH로 펀딩되었음을 확인했습니다. 지갑 자체는 Railgun의 스마트 계약을 통해 펀딩된 것으로 나타났습니다. 지갑 자체는 레일건의 스마트 콘트랙트를 통해 자금이 조달되었습니다. 레일건의 공식 웹사이트에 따르면 "레일건은 전문 트레이더와 탈중앙 금융 사용자를 위한 스마트 콘트랙트로, 암호화폐 거래에 프라이버시를 더하기 위해 설계되었습니다."라고 설명합니다. 이러한 발견은 이러한 지갑 주소가 시세 조작이나 더 심각한 경우와 같이 숨겨야 할 특정 행동의 대상이 될 수 있음을 시사합니다.

넥스펀드AI를 넘어선 디파이 사기

디파이에서의 조작은 FBI 수사에만 국한된 것이 아닙니다. 저희 데이터에 따르면 이더리움 탈중앙화 거래소의 20만 개가 넘는 자산 중 상당수가 실제 사용처가 부족하고 한 개인이 통제하고 있는 것으로 나타났습니다.

Ether에서 토큰을 발행하는 일부 발행자는 유니스왑에서 단기 유동성 풀을 생성합니다. 풀의 유동성을 조절하고 스와이프 거래에 여러 지갑을 사용함으로써 풀의 매력을 높이고 일반 투자자의 진입을 유도하여 이더를 축적하고 보유 중인 토큰을 매각합니다. 카이코의 월렛 데이터에 따르면 4개의 암호화폐를 분석한 결과, 이 방식으로 약 10일 만에 초기 이더리움 투자금의 22배에 달하는 수익을 달성할 수 있는 것으로 나타났습니다. 이 분석은 넥스펀드AI에 대한 FBI의 수사 범위를 넘어 토큰 발행자들 사이에서 광범위한 사기가 벌어지고 있음을 보여줍니다.

데이터 패턴: GIGA2.0 토큰으로 예를 들어

사용자(예: 0x33ee6449b05193766f839d6f84f7afd5c9bb3c93)가 주소(예: 0x000)에서 새 토큰의 전체 공급을 수신(및 개시)합니다.

사용자는 즉시(당일 내) 이체합니다. 이 토큰과 이더리움의 일부가 즉시(당일 내) 전송되어 새로운 유니스왑 V2 유동성 풀을 생성합니다. 모든 유동성은 사용자가 기여한 것이므로, 사용자는 자신의 기여를 나타내는 UNI-V2 토큰을 받습니다.

평균 10일 후, 사용자는 모든 유동성을 인출합니다. 평균 10일이 지나면 사용자는 모든 유동성을 인출하고 UNI-V2 토큰을 소각한 후 거래 수수료로 얻은 추가 이더를 인출합니다.

이 네 가지 토큰의 온체인 데이터를 분석해본 결과, 동일한 패턴이 있음을 발견했습니다. 데이터에서 동일한 패턴이 반복되는 것을 발견했으며, 이는 오로지 수익 창출을 목적으로 자동화와 반복적인 작업을 통한 조작을 시사합니다.

시장 조작은 디파이에만 국한되지 않습니다

FBI의 수사는 이러한 행위를 폭로하는 데 효과적이었지만, 시장 남용은 암호화폐나 디파이에만 국한된 것이 아닙니다. 2019년, 갓빗의 CEO는 다음과 같이 말했습니다. 는 소규모 거래소가 이러한 관행을 암묵적으로 승인하는 것을 이용해 암호화폐 프로젝트의 '가짜 성공'을 돕는 비윤리적인 사업에 대해 공개적으로 발언했으며, 갓빗의 CEO와 이사 두 명도 유사한 수법으로 여러 암호화폐를 조작한 혐의로 기소되었습니다.

그러나 중앙화된 거래소에서 이러한 조작을 적발하는 것은 더 어렵습니다. 이러한 거래소는 시장 수준의 오더북과 거래 데이터만 표시하기 때문에 사기 거래를 정확하게 식별하기 어렵습니다. 하지만 여러 거래소의 거래 패턴과 시장 지표를 비교하면 문제를 파악하는 데 도움이 될 수 있습니다. 예를 들어 거래량이 유동성(시장 심도 1%)을 크게 초과하는 경우 스와이프 거래와 관련이 있을 수 있습니다.

데이터에 따르면 HTX의 100개 이상의 거래소와 폴로닉스는 거래량 대비 유동성 비율이 100배가 넘는 자산을 가장 많이 보유하고 있습니다. 일반적으로 밈 코인, 프라이버시 코인, 소형주 토렌트가 비정상적으로 높은 거래량 대 유동성 비율을 보였습니다.

수수료 무료 캠페인과 같은 특정 거래소의 프로모션으로 거래량이 크게 증가할 수 있으므로 거래량 대 유동성 비율은 완벽한 지표가 아니라는 점에 유의하시기 바랍니다. 보다 확실하게 허위 거래량을 확인하기 위해 거래소 간의 거래량 상관관계를 확인할 수 있습니다. 일반적으로 여러 거래소에서 자산의 거래량 추세는 상관관계가 있으며, 시간이 지남에 따라 일관성을 보입니다. 거래량이 시간에 따라 단조롭거나, 거래가 없는 기간이 길거나, 거래소마다 큰 차이를 보인다면 비정상적인 거래 활동을 나타낼 수 있습니다.

예를 들어 특정 2024년 HTX와 다른 플랫폼 간의 거래량 추이에서 상당한 차이를 발견했습니다. HTX에서는 PEPE 거래량이 높은 수준을 유지했고 심지어 7월에는 거래량이 증가한 반면, 대부분의 다른 거래소에서는 거래량이 감소했습니다.

거래 데이터를 추가로 분석한 결과, 7월 3일 1백만 PEPE에 대한 4,200건의 매수 및 매도 주문이 시간당 평균 약 180건씩 발생하는 등 HTX의 PEPE-USDT 시장에서 알고리즘 거래가 활발하게 이루어지고 있었습니다. 이러한 거래 패턴은 같은 기간 크라켄의 거래가 불규칙한 거래 규모와 시간으로 보다 자연스럽고 소매 중심이었던 것과는 대조적입니다.

7월의 다른 날에도 비슷한 패턴이 나타났습니다. 7월의 다른 날에도 비슷한 패턴이 나타났습니다. 예를 들어 7월 9일과 12일 사이에는 2M PEPE에 대해 5,900건 이상의 매수 및 매도 거래가 체결되었습니다.

모든 징후는 높은 수준의 사기를 포함한 자동화된 사기 가능성을 가리킵니다. 높은 거래량 대 심도 비율, 비정상적인 주간 거래 패턴, 고정된 규모의 반복 주문, 빠른 체결 등 자동화된 스와이프 행위. 스와이프 거래에서는 거래량을 부풀리고 시장을 유동적으로 보이게 하기 위해 동일한 주체가 동시에 매수 주문과 매도 주문을 제출합니다.

시장 조작과 효율성 불균형 사이의 미세한 경계

암호화폐 시장에서의 시장 조작은 시장의 효율성 불균형을 이용하는 행위인 아비트리지로 오인되는 경우가 있습니다.

예를 들어, 한국 시장에서는 '그물망 낚시' 현상(개인 트레이더를 끌어들여 거래를 유치한 후 풀을 비우고 도망가는 행위)이 흔히 발생합니다. 트레이더는 일시적인 충전 및 출금 중단을 이용해 자산 가격을 인위적으로 부풀려 수익을 얻습니다. 대표적인 사례로 2023년 Curve의 네이티브 토큰(CRV)이 해킹으로 인해 한국의 여러 거래소에서 거래가 중단된 것을 들 수 있습니다.

차트를 보면 다음과 같습니다. 빗썸이 CRV 토큰의 충전과 출금을 중단하자 매수 주문이 대거 몰리면서 가격이 급등했지만, 매도세가 시작되면서 다시 빠르게 하락하기 시작했습니다. 일시 중단 기간 동안 매수 주문으로 인한 가격 상승이 여러 차례 이어졌고 곧바로 매도 주문이 이어졌습니다. 전반적으로 매도 물량이 매수 물량보다 훨씬 많았습니다.

일시 중단이 끝나자 트레이더가 거래소 간 차익거래를 쉽게 매매할 수 있게 되면서 가격이 빠르게 하락했습니다. 이러한 유형의 일시정지는 일반적으로 유동성 제한으로 인해 가격 상승을 기대하는 개인 트레이더와 투기꾼을 끌어들입니다.

결론

암호화폐 시장에서의 시장 조작을 식별하는 것은 아직 초기 단계에 있습니다. 그러나 과거 조사에서 얻은 데이터와 증거를 결합하면 규제 당국, 거래소, 투자자가 향후 시장 조작에 더 잘 대처하는 데 도움이 될 수 있습니다. 디파이 영역에서 블록체인 데이터의 투명성은 모든 유형의 토큰에서 스와이프 거래를 감지할 수 있는 특별한 기회를 제공함으로써 시장 무결성을 점진적으로 개선할 수 있습니다. 중앙화된 거래소에서 시장 데이터는 새로운 시장 악용 사례를 밝혀내고 일부 거래소의 이익을 공익과 점진적으로 일치시킬 수 있습니다. 암호화폐 산업이 발전함에 따라 이용 가능한 모든 데이터를 활용하면 악의적인 행동을 줄이고 보다 공정한 거래 환경을 조성하는 데 도움이 될 수 있습니다.