폴리마켓 가짜 베팅 의혹·MEV 봇 750만 달러 탈취·msUSD 90% 폭락

크립토 뉴스

한 예측 시장 플랫폼이 바이럴 성장을 노리고 가짜 당첨 베팅을 연출했다는 조사 결과로 도마 위에 올랐다. 조사에 따르면 1,105개 영상에 등장한 약 190만 달러 규모의 베팅이 실제가 아니었으며, 이는 모든 거래가 누구나 검증할 수 있는 공개 블록체인에서 정산된다는 회사의 핵심 주장과 정면으로 배치된다. 폴리마켓의 실제 거래는 폴리곤에서 체결돼 USDC로 정산되고, 시장은 허가가 필요 없는 UMA 오라클을 통해 결제된다. 그러나 마케팅 캠페인은 실제 플랫폼을 흉내 낸 poiymarket.com 같은 가짜 사이트를 활용했고, 그 안에서 대학생 또래 크리에이터들이 조작된 수익을 자축한 것으로 전해진다. 검토 대상 영상의 약 70%가 베팅 장면을 담았지만 그중 진짜는 하나도 없었다.

시점도 공교로웠다. 이번 논란은 폴리마켓이 논쟁 속에 미국 시장으로 복귀하던 시기와 맞물렸다. 크리에이터들은 매월 2,000~3,000달러를 받으면서 해당 보수를 공개하지 말라는 요청을 받았고, 고용된 마케팅 업체는 영상 조회수를 1억 4,000만 회 넘게 끌어올린 것으로 알려졌다. 약 118개 영상에서는 16만 6,000달러 이상 손실로 이어질 수 있었던 베팅을 두고 90만 달러에 가까운 허구의 수익을 과시했다. 이번 사태는 시장 결제를 둘러싼 과거의 분쟁들이 사용자 신뢰를 훼손했던 전례를 떠올리게 한다. 규제 당국은 2022년 미등록 시장 운영을 이유로 플랫폼에 140만 달러의 벌금을 부과하고 규정 위반 거래 중단을 명령했으며, 회사는 이후 파나마로 본사를 재이전했는데 한때 FTX와 연관됐던 법률 사무소를 함께 쓴 것으로 전해진다.

이더리움에서 가장 활발한 자동화 거래 봇 중 하나인 ‘JaredFromSubway’가 공격자가 봇의 수익 추구 논리를 거꾸로 역이용하면서 약 750만 달러를 탈취당했다. 보안 연구진은 스마트 컨트랙트 취약점 공격이나 피싱, 개인키 유출은 전혀 없었다고 강조했다. 대신 공격자는 수 주에 걸쳐 랩트 이더(WETH), USDC, 테더(USDT)를 모방한 66개의 가짜 토큰 컨트랙트를 배포해, 봇이 좇도록 설계된 온체인 신호를 위장했다. 이 MEV 봇은 이더리움 멤풀을 훑어 수익성 있는 거래를 찾고, 탈중앙화 거래소의 트레이더를 상대로 프런트러닝과 백러닝 주문을 실행하는 이른바 샌드위치 공격을 구사한다. 봇은 미끼를 기회로 오인하도록 유도당했고, 결국 공격자가 통제하는 컨트랙트에 토큰 승인을 부여했다.

단 한 건의 승인으로 92개가 넘는 랩트 이더가 넘어갔고, 마지막 컨트랙트는 이렇게 열린 승인을 이용해 봇의 자금고에서 실제 자산을 빨아냈다. 온체인 데이터는 탈취 수익 일부가 이미 토네이도 캐시를 거쳐 세탁된 정황을 보여준다. 이 봇은 2023년 4월 하루에만 100만 달러가 넘는 가스비를 소진하며 당시 이더리움 전체 가스 지출의 약 8%를 차지해 악명을 떨쳤다. 운영자는 손실 규모를 1,500만 달러에 가깝다고 추산하며 자금 반환에 100만 달러의 현상금을 내걸었다. 자금 회수 여부는 이제 공격자가 그 제안을 받아들이느냐에 전적으로 달리게 됐는데, 이는 오랫동안 일반 트레이더에게 ‘보이지 않는 세금’이라 비판받아온 시스템에는 불편한 역전이다.

‘메인 스트리트 USD(msUSD)’는 준비금 증명을 검증하던 업체가 돌연 계약을 해지한 뒤 토요일에 달러 페그가 깨졌고, 토큰 가치 대부분이 수 시간 만에 증발했다. 수개월간 1달러 부근에서 거래되던 이 스테이블코인은 약 0.29달러까지 붕괴해 24시간 동안 약 71% 하락했고, 시가총액은 530만 달러 수준으로 쪼그라들었다. 실시간 준비금 증명 검증을 수행하며 10억 달러가 넘는 고객 자산을 검증했다고 밝힌 이 업체는 메인 스트리트가 자사 기준을 충족하지 못해 즉시 관계를 끊었다고 설명했다. 피드가 멈추자 이 업체가 구동하던 공개 대시보드는 토큰을 뒷받침하는 어떤 준비금도 더 이상 검증하지 못했다.

메인 스트리트는 msUSD를 USDC와 항상 1대 1로 상환 가능한 달러로 홍보했고, 스테이킹 시 기관급으로 내세운 박스 스프레드 옵션에서 수익을 거두는 이자 토큰을 발행한다고 선전했다. 이 구조는 외부 검증 피드와 대형 플랫폼과의 연동에 의존했으며, 프로토콜은 수십억 달러 규모의 예치금을 보유한 최대 탈중앙화 대출 플랫폼 가운데 하나인 모르포(Morpho)에서 자사 이자 시장을 알렸다. 한 보안 스캐너는 이 토큰이 소유자가 판매를 중단하거나 새 토큰을 발행하고 수수료를 변경할 수 있는 업그레이드 가능한 프록시 컨트랙트로 운영된다고 경고했다. 이번 붕괴는 올해 늘어나는 디페그 사례 목록에 또 하나를 더하며, 스테이블코인의 담보가 의심받을 때 신뢰가 얼마나 빠르게 증발하는지를 보여준다.

이 세 사건을 종합하면 이번 주 크립토를 관통하는 하나의 단층선이 드러난다. 플랫폼이 주장하는 것과 온체인 데이터가 실제로 증명할 수 있는 것 사이의 간극이다. 검증 가능성을 표방한 예측 시장은 조작된 베팅으로 스스로를 마케팅했고, 자동화 봇의 투명성은 도리어 자금 탈취의 지도가 됐으며, 스테이블코인의 페그는 외부 검증자가 보증하는 동안에만 유지됐다. COINOTAG의 종합 시장 데이터가 그 배경을 보여주는데, 공포·탐욕 지수는 23으로 ‘극도의 공포’ 구간에 확고히 머물러 있고, 자본이 메이저로 집중되면서 비트코인 도미넌스는 약 70.1%에 달한다. 전체 암호화폐 시가총액이 약 1조 8,400억 달러인 가운데, 온체인 투명성은 여전히 이 산업의 가장 강력한 방어막이자 가장 악용되기 쉬운 약점으로 남아 있다.