오징어 게임 사기꾼을 추적하다

불과 1년 전, 암호화폐 세계는 역사상 가장 단순하면서도 대담한 사기로 인해 흔들렸습니다. 넷플릭스에서 가장 많이 시청한 한국 드라마 '오징어 게임'에 대한 전 세계적인 열광을 악용한 사기범들은 SQUID라는 거래 가능한 토큰을 출시했습니다. 화려한 웹사이트와 드라마 이미지로 가득 찬 매끄러운 소셜 미디어 계정을 통해 공식 승인을 받은 것처럼 속였습니다.

이 이야기는 ITN에서 제작한 Audible 팟캐스트의 주제입니다. TRM은 스캠 온 체인에 대한 심층 조사를 진행했으며, 팟캐스트에서 TRM의 글로벌 조사 책임자인 크리스 얀체브스키가 이에 대해 자세히 설명합니다.

여기에서 조사에 대한 자세한 보고서를 읽어보세요.

2021년 10월, 스퀴드가 출시된 지 몇 주 만에 가격이 40,000% 이상 급등했습니다. 그러나 보유자들이 서둘러 수익을 실현하려 하자 토큰을 뒷받침하는 스마트 컨트랙트에 의해 잠겼습니다. 이 계약은 크리에이터만 판매할 수 있도록 허용했습니다. 제작자들이 현금화하자 SQUID의 가격은 2,862달러에서 0.1센트까지 폭락하여 투자자들의 발 밑에서 양탄자가 사라졌습니다. 익명의 사기꾼들은 순식간에 수백만 달러를 챙겼습니다.

SQUID의 가해자들은 암호화폐 사기를 특징짓는 많은 원칙을 완성했습니다:

- 진입 장벽이 낮은 탈중앙화 거래소(DEX) 사용

- 토큰 구매자에게 불리하게 조작된 스마트 컨트랙트

- 혼합 서비스(현재 승인된 서비스인 토네이도 캐시 포함)를 통해 훔친 자금을 세탁하는 행위

- KYC 요건이 없거나 최소화된 크로스체인 스왑 및 고위험 가상자산 서비스 제공자(VASP) 

TRM Labs의 포렌식 도구를 사용하여 복잡한 크로스체인 스왑을 추적하는 기능 덕분에 수사관들은 도난당한 자금의 흐름을 추적할 수 있었습니다. TRM의 분석은 또한 SQUID의 배후에 있는 사기꾼들을 다른 두 건의 유사한 '러그 풀' 사기 사건과 연결시키는 데 도움이 되었습니다. 세탁 과정의 복잡성으로 인해 세 가지 사기를 통해 얻은 총 금액을 파악하기는 어렵지만, 연구 기관인 TRM Labs 의 연구에 따르면 최소 35,025BNB(사건 발생 당시 약 1,930만 달러)로 추정됩니다. 

사기꾼들이 악용한 디파이(Defi)의 개방성을 이용한 사기꾼 

스캠 토큰 컨트랙트에는 스캠 가능하게 한 두 가지 핵심 기능이 있었습니다. 첫 번째는 제작자에게 연결된 유동성 풀에서 자금을 인출할 수 있는 권한을 부여했습니다. 둘째, 사기꾼 외에는 토큰을 판매하는 것이 사실상 불가능하도록 계약이 코딩되어 있었습니다. 

탈중앙화 금융의 핵심은 관료주의와 제도적 게이트키퍼를 거부하는 것입니다. 스퀴드 사기범들은 이러한 민주적 원칙과 중앙 관리감독의 부재를 악용해 팬케이크 스왑에 탈취한 토큰을 상장한 것으로 보입니다. 유동성 풀에 상장된 토큰 쌍은 풀에 있는 모든 자산을 사용해 자유롭게 거래할 수 있습니다. 

오징어 빨래방

스캠 자체보다 훨씬 더 정교한 것은 수익금을 세탁하는 방식이었습니다. 사기범들은 팬케이크 스왑에 설정한 풀에서 유동성을 빼낸 후, 먼저 SQUID 토큰을 다른 토큰과 스왑할 수 있는 랩드 바이낸스(Binance) 코인인 WBNB로 교환했습니다. 그런 다음 WBNB를 일반 바이낸스(Binance) 코인(BNB)으로 전환하여 DEX에서 인출했습니다. 그 후 대부분을 가상자산 출처를 숨기는 데 악명 높은 믹싱 서비스인 토네이도 캐시로 보냈습니다. 

토네이도 캐시에 입금된 자금은 빠르게 인출되어 통합되었습니다. 2021년 11월 1일에만 55건의 입금이 토네이도 캐시로 이루어진 후 단일 주소로 전송되었습니다. 그런 다음 사기범들은 브릿지 애플리케이션을 사용하여 자금을 이더리움 네트워크로 이동시켰습니다.

KYC 관리가 허술한 VASP: 범죄자를 위한 완벽한 탈출구

모든 스캠 사기범의 가장 큰 과제 중 하나는 부당 이득을 현실 세계에서 사용할 수 있는 현금으로 전환하는 방법입니다. 스퀴드 배후에 있는 것으로 추정되는 범죄자들은 최소한의 인증 및 고객 신원 확인(KYC) 통제가 있는 두 개의 암호화폐 거래소에 의존했습니다. 분석 주체 TRM Labs 의 분석에 따르면 수익금의 상당 부분이 신원 확인 없이 가상자산 입금, 거래, 출금할 수 있는 등 다양한 금융 서비스를 제공하는 암호화폐 생태계의 기존 법인을 통해 현금화되었습니다.

최소 2,693 이더리움(당시 약 1,110만 달러)이 이 가상자산사업자(VASP) 에게 SQUID 사기범과 연결된 주소로 송금되었습니다. 이 자금은 도착하기 전에 믹서기인 토네이도 캐시와 사용자가 보유한 암호화폐에 대한 이자를 받을 수 있지만 자금 출처를 감추는 역할을 하는 탈중앙화 대출 및 차용 프로토콜인 컴파운드 등 두 가지 서비스를 통해 '청소'되었습니다. 두 번째 가상자산사업자(VASP) 다른 체인으로 이전되지 않은 수익금의 나머지 부분을 받았습니다. 아이러니하게도 VASP는 낮은 고객신원확인(KYC) 기준으로 스캠 가능하게 한 것처럼 보였지만, 데이터 보호 메커니즘은 이를 허용하지 않았습니다. TRM Labs 이 사기범의 신원을 파악할 단서를 제공할 수 있는 관련 계정 정보에 접근하는 것을 허용하지 않았습니다.  

다행히도 스퀴드의 배후에 있는 사기꾼들은 상당한 기술에도 불구하고 수사관들이 추적할 수 있는 오류 흔적을 남겼습니다. 서비스 혼합 사용 중 명백한 실수, 일관된 행동 패턴, 단 두 개의 VASP에 지나치게 의존하는 등의 실수가 있었습니다. 하지만 이러한 단서만으로는 아직까지 범인을 특정하거나 피해자들이 잃어버린 자금을 되찾기에는 충분하지 않은 것으로 밝혀졌습니다.

약세장이 자만심을 키워서는 안 됩니다. 

SQUID가 다시 발생할 수 있을까요?

이 스캠 가상자산 시장에 존재하는 대중문화와 거친 투기의 가연성 혼합물을 먹고 자랐습니다. 많은 투자자들이 열광적인 분위기와 엄청난 수익에 대한 전망으로 인해 스퀴드의 공식 파트너십 부족, 오류와 불일치로 가득한 백서 등의 위험 신호를 놓치거나 합리화하게 되었습니다.

궁극적으로 탈중앙화 거래소에서 토큰을 쉽게 생성하고 상장할 수 있다는 점은 계속해서 위험을 초래하고 있습니다. 또한, 어려운 경제 환경으로 인해 많은 사람들이 자산 수익을 얻기 위해 극단적인 위험을 감수할 수 있습니다. 이 모든 것은 어떤 형태로든 또 다른 대규모 스캠 발생할 수 있음을 시사합니다. 새로운 프로젝트에 투자하기 전에 철저한 실사를 진행하고 체인어뷰스와 같은 도구를 사용하는 것이 피해를 피할 수 있는 최선의 방법입니다. 또한 TRM은 자금 흐름을 추적하고 관련 네트워크를 활성화하며 궁극적으로 불법 행위자가 이러한 범죄 수익금을 세탁하는 것을 방해할 수 있도록 지원함으로써 이러한 유형의 범죄에 신속하게 대응해 나갈 것입니다.