Solidus Labs의 ‘Rug Pull Report’ 주요 내용

블록체인 모니터링 플랫폼인 Solidus Labs는 2022 Rug Pull Report를 발표했으며, 거의 200만 명의 투자자가 러그 풀 토큰으로 자금을 잃었다는 사실을 밝혔습니다. 이는 일부 최대 규모 암호화폐 플랫폼이 붕괴하면서 무보증 손실을 입은 투자자 수와 비슷합니다.

이 회사의 Web3 AML 솔루션은 2020년 이후 EVM 블록체인에 배포된 모든 새로운 암호화폐의 소스 코드를 스캔했으며, 현재까지 180만 개의 토큰과 12개의 체인이 확인되었습니다.

암호화폐 산업 내 위협 행위자들이 시간당 최대 15건의 암호화폐 사기를 시작하고 있는 것으로 나타났습니다. 또한 전체 BNB 체인 토큰의 12%가 사기이며, 이는 모든 블록체인 중 가장 높은 비율이며, 이더리움 토큰의 8%는 러그 풀을 실행하도록 프로그래밍되어 있습니다.

러그 풀은 암호화폐 부문에 큰 혼란을 야기하고 있으며, Solidus Labs 보고서에 따르면 2022년 12월 1일 현재 보고된 사기 토큰이 117,629개 생성되었습니다. 조사 결과 2022년에 사기꾼과 러그 풀로 인해 잃은 금액이 거의 두 배에 달하는 것으로 밝혀졌습니다.

올해 생성된 사기 토큰 수는 2021년에 비해 41% 증가했으며, 당시 Solidus는 약 83,400개의 사기 토큰을 감지했습니다. 예상대로, 2022년은 2020년 9월부터 추적을 시작한 이후 사기 암호화폐 토큰 중 가장 큰 해가 되었습니다.

한편, 연방거래위원회(FTC)에 따르면 2021년 1월 초부터 2022년 3월까지 암호화폐 사기로 인해 소비자들이 $10억 이상을 잃었습니다. 현재 연도 1분기에 미국에서 암호화폐 사기 및 사기로 인한 손실은 1억 8,500만 달러에 달했습니다.

그러나 Privacy Affairs의 새로운 설문 조사에 따르면, 2022년 가장 큰 암호화폐 손실, 사기 및 해킹 상위 다섯 건(손실 또는 도난 금액이 1억 달러 이상) 합계는 거의 35억 달러에 달했습니다.

Rug Pull 전염병

러그 풀 전염병이 암호화폐 세계를 휩쓸고 있으며, 많은 투자자들이 힘들게 번 돈을 잃고 있습니다. 이에 따라 Solidus Labs는 특별 보고서에서 가장 흔한 스마트 계약 사기인 러그 풀에 대한 포괄적인 분석을 제공합니다.

2021년과 마찬가지로, 2022년 암호화폐 해킹 및 사기의 대부분은 DeFi 프로토콜, 거래소 플랫폼 및 블록체인 브리지의 취약점을 악용하는 공격 및 기타 위협 행위자에 의해 발생했습니다.

일반적으로 암호화폐 탈퇴 사기는 암호화폐 사기꾼이 투자자와 무지한 암호화폐 사용자를 대상으로 상당한 수익을 약속하는 토큰/프로젝트에 자금을 모으는 방식을 말합니다.

반면 러그 풀은 토큰을 생성하고 그 가치를 상승시킨 뒤 프로젝트 전체 가치를 빼내는 탈퇴 사기입니다.

요컨대, 러그 풀은 팀이 토큰 가치를 부풀려 투자자를 유인한 뒤 프로젝트가 구축되기 전에 자금을 빼가는 암호화폐 사기입니다. 토큰이 배포된 후, 러그 풀 팀은 일반적으로 중앙화된 주체가 운영하지 않으며 KYC 검증이 필요 없는 탈중앙화 거래소(DEX)에서 유동성 풀을 구축합니다.

Solidus Labs는 러그 풀 토큰이 절도 목적에 맞게 고의적으로 프로그래밍되어 있으며, 스마트 계약이 2차 판매를 차단하거나 구매자에게 100% 판매 수수료를 부과하거나 개발자가 새로운 토큰을 발행할 수 있도록 설계될 수 있음을 발견했습니다.

암호화폐 위험 모니터링 및 시장 모니터링 업체의 연구에 따르면, 러그 풀은 암호화폐에서 가장 흔한 사기 중 하나이며, 2020년 9월부터 2022년 12월 1일까지 사기꾼에 의해 200,000개 이상의 사기 토큰이 배포되었습니다.

사기꾼은 암호화폐-법정화폐 거래소를 이용해 자금을 세탁하고 사기를 확산시킬 수 있습니다. 또한 이러한 악성 토큰의 99% 이상이 전통적인 사기 식별 방법으로는 탐지되지 않았는데, 이는 온체인에서만 발생하기 때문입니다.

또한 토큰은 스마트 계약에 사기가 인코딩되어 탈중앙화 거래소에서 거래되고, 불법 수익이 암호화폐로 표시되기 때문에 당국에 의해 탐지되지 않습니다.

추가로 토큰 사기꾼은 웹 도메인조차 등록하지 않고도 소셜 미디어 스팸 봇을 사용하거나 워시 트레이딩을 통해 더 많은 투자자에게 다가가기 위해 사기성 마케팅을 활용할 수 있습니다.

하드와 소프트 러그 풀

블록체인 모니터링 기업 Solidus Labs는 스마트 계약 스크리닝 기술을 활용해 수백만 개의 토큰 계약을 스캔하고 사기 취약점을 전례 없는 정확도로 표시했습니다.

러그 풀을 더 깊이 살펴보면서, 회사는 하드와 소프트 두 가지 주요 유형이 존재한다는 점을 공유했습니다. 하드 러그 풀은 토큰 사기로도 알려져 있으며, 사기꾼이 토큰을 프로그래밍해 투자자를 탈취합니다. 하드 러그 풀에는 일곱 가지 주요 유형이 있습니다: 허니팟, 숨겨진 민트, 가짜 소유권 포기, 숨겨진 잔액 수정자, 숨겨진 수수료 수정자, 숨겨진 최대 거래 금액 수정자, 그리고 숨겨진 전송.

회사는 구매자가 토큰을 재판매하지 못하도록 하는 허니팟 사기 98,442건을 감지했습니다. 허니팟 사기에서는 구매자가 토큰을 판매할 수 없어 사기꾼이 원하는 만큼 가격이 상승하게 되며, 이는 ‘달러 상승’ 토큰이라는 착각을 일으켜 더 많은 사용자를 속여 구매하게 만들기 때문에 가장 인기 있는 러그 풀 형태입니다.

대부분의 허니팟은 네 가지 방식 중 하나로 구현되었습니다: 유동성 풀 차단, 외부 계약 사용, 차단 리스트, 허용 리스트. Solidus Labs의 러그 풀 탐지 도구에 따르면, 유동성 풀 차단 사기 30,323건, 외부 계약 사기 35,424건, 차단 리스트/허용 리스트 사기 10,639건이 있었습니다.

Solidus는 올해 성공적으로 실행된 가장 대표적인 ‘허니팟’이 330만 달러 규모의 스쿼드 게임 토큰 사기(SQUID)였으며, 투자자들이 과대광고에 뛰어들어 구매했지만 판매할 수 없어 가격이 며칠 만에 45,000% 상승했으며, 결국 익명의 설립자가 투자자 자금을 가지고 도주한 것으로 보인다고 밝혔습니다.

회사는 또한 개발자가 토큰 계약 내 숨겨진 함수를 사용해 무제한으로 새로운 토큰을 생성할 수 있는 숨겨진 민트 60,985건을 추가로 감지했습니다. 이 함수를 호출하면 사기꾼이 추가 토큰을 시장에 내다 팔아 다른 사람들의 토큰 가치를 하락시킬 수 있습니다.

한편, 약 48,974건의 가짜 소유권 포기가 수행된 것으로 추정됩니다. 이 유형의 사기에서는 사기꾼이 토큰 계약에 대한 통제권을 포기한 것처럼 보이게 하지만 실제로는 그렇지 않습니다. 사기꾼은 여전히 계약 내 소유자 전용 기능(거래 일시 중지, 토큰 민트, 수수료 설정 등)에 접근할 수 있으며, 이는 기만적이며 사람들의 돈을 잃게 만들 수 있습니다.

숨겨진 잔액 수정자 사기에서는 하나 이상의 외부 소유 계정(EOA)이나 토큰 계약 자체가 토큰 보유자의 잔액을 수정할 수 있습니다. 이러한 사례는 8,340건이 있었습니다. 이름에서 알 수 있듯이, 숨겨진 전송은 개발자가 다른 사용자의 주소에서 자신에게 토큰을 보낼 수 있게 합니다. 사기꾼은 이미 총 2,026건의 숨겨진 전송 사기를 수행했습니다.

또 다른 주의해야 할 사기 유형은 숨겨진 수수료 수정자로, 토큰 개발자가 사용자가 토큰을 구매하고 판매할 때 부과되는 수수료를 변경할 수 있게 합니다. 사기꾼은 이 수정을 통해 사용자가 처음 합의한 것보다 훨씬 높은 수수료를 무의식적으로 지불하도록 속일 수 있습니다. 경우에 따라 사용자는 전송 규모의 100%까지 사기를 당하기도 합니다. 이러한 사기의 피해자가 되지 않으려면 토큰 구매 또는 판매와 관련된 수수료에 각별히 주의해야 합니다.

숨겨진 수수료 수정자 사례는 823건이 있었으며, 숨겨진 최대 거래 금액 수정자에서는 사기꾼 40명이 거래 최대값을 0으로 설정하는 등 가장 적은 사기가 감지되었습니다.

이제 두 번째 유형인 소프트 러그 풀, 즉 탈퇴 사기로도 알려진 유형에서는 사기꾼이 투자자를 탈취하기 위해 토큰을 홍보합니다. 그들은 오해를 일으키는 마케팅 웹사이트와 로드맵을 게시하거나, 가짜 파트너십을 발표하거나, 봇을 사용해 거래 활동을 조작할 수 있습니다.

러그를 당기기 전에, 탈퇴 사기꾼은 오해를 일으키는 마케팅 웹사이트를 만들고, 존재하지 않는 파트너십을 발표하며, 개발 팀이나 후원자에 대한 거짓 주장을 제시하고, 워시 트레이딩에 참여해 토큰의 거래량이나 가격을 인위적으로 부풀리며, 공개적으로 주장한 것보다 훨씬 많은 토큰 할당을 자신에게 부여하고, 트위터, 디스코드, 레딧, 텔레그램과 같은 플랫폼에서 토큰에 대한 긍정적인 분위기를 스팸 봇으로 퍼뜨릴 수 있습니다.

CEXs at the Center of Rug Pull Scams

Solidus Labs는 최근 실시간 위협 탐지 도구인 Solidus Threat Intelligence를 출시했으며, 이는 자금세탁방지(AML) 팀 및 기타 관계자들이 스마트 계약 사기를 식별하도록 돕는 도구로, 탈중앙화 금융(DeFi) 및 Web3 분야에서 가장 큰 과제 중 하나로 떠올랐습니다.

여러 암호화폐 거래소, 암호화폐 지갑, 그리고 사기성 암호화폐 자체가 존재한다는 사실은 상황을 더욱 악화시킵니다. 알아야 할 점은 다른 온라인 산업과 마찬가지로 암호화폐 세계에도 확실히 나쁜 사과가 존재한다는 것입니다.

그러나 이는 도움이 되지 않는, 사용자 친화적이며 합법적이고 안전한 암호화폐 플랫폼 및 거래소가 없다는 뜻은 아닙니다. 안타깝게도 많은 사람들이 사기와 사기에 걸릴 위험 때문에 암호화폐 투자에 주저하고 있습니다.

보고서에 따르면 거의 모든 주요 암호화폐 거래소가 러그 풀의 영향을 받고 있으며, 이러한 사기 토큰 뒤에 있는 많은 이들이 사기 토큰을 이용해 사기 프로젝트에 자금을 조달하고 불법적으로 얻은 이익을 현금화하고 있습니다.

러그 풀은 중앙화 거래소(CEX)에도 해를 끼치고 있는데, 많은 사기 토큰 배후 인물들이 이를 이용해 의심스러운 프로젝트에 자금을 지원하고 불법적으로 얻은 이익을 현금화했습니다.

악명 높은 FTX 붕괴는 2022년 온라인 투자자들이 겪은 가장 큰 단일 손실로, 고객 자금 100억 달러가 손실되었습니다. 그러나 Solidus Labs는 러그 풀이 FTX나 그 어떤 단일 암호화폐 붕괴보다도 더 많은 투자자에게 피해를 주고 있다고 밝혔습니다.

추정에 따르면, 사기 토큰으로부터 도난당한 이더리움(ETH) 약 110억 달러가 2020년 9월 이후 153개의 중앙화 거래소(CEX)를 통해 흐른 것으로 보이며, 대부분의 거래소는 미국 규제 기관의 감독을 받고 있습니다. 미국 다음으로 가장 많은 노출을 가진 CeFi 거래소를 감독하는 관할권은 세이셸, 바하마, 네덜란드, 홍콩 순입니다.

이러한 거래소들은 운영되는 모든 관할권에서 자금세탁 방지를 위한 조치를 취할 법적 의무가 있음에도 불구하고, 여전히 이러한 사실이 존재합니다. 또한, 거래소는 투자자 보호 및 시장 남용 방지와 관련된 추가 규제 요건을 여러 관할권에서 마주하고 있습니다.

“이 숨겨진 절도 현상은 소비자 보호, 자금세탁 방지 및 암호화폐 시장 무결성에 중대한 격차가 있음을 드러냅니다.”라고 보고서는 밝혔습니다.