샌드위치 공격 주도하던 MEV 봇, 역공에 750만달러 털려

이더리움에서 악명 높은 샌드위치 공격 봇으로 알려진 재러드프롬서브웨이.eth(Jaredfromsubway.eth)가 750만달러 이상을 탈취당한 것으로 전해졌다. 탈중앙화금융(DeFi) 이용자들의 거래를 앞뒤로 끼워 넣어 수익을 얻던 자동화 봇이, 이번에는 공격자가 설계한 가짜 거래 구조에 걸려든 것이다.

21일 가상자산(암호화폐) 전문 미디어 코인텔레그래프에 따르면 보안업체 블록에이드(Blockaid)는 지난 20일 재러드프롬서브웨이.eth가 공격자 통제 계약에 속아 토큰 사용 권한을 부여했고, 이후 해당 권한이 자금 탈취에 악용됐다고 밝혔다.

블록에이드는 "이번 사건은 전형적인 피싱 공격도, 피해자 컨트랙트의 일반적인 스마트계약 취약점도 아니다"라고 설명했다.

재러드프롬서브웨이.eth는 이더리움에서 가장 성공적인 MEV 봇 중 하나로 꼽힌다. MEV는 블록체인에서 아직 확정되지 않은 거래를 감시한 뒤 거래 순서를 조정해 이익을 얻는 방식이다. 샌드위치 공격은 이용자의 거래 직전에 먼저 매수하고, 거래 직후 되팔아 가격 차익을 얻는 대표적인 MEV 전략이다.

코인텔레그래프 리서치에 따르면 이더리움에서 샌드위치 공격으로 트레이더들이 입는 손실은 연간 약 6000만달러로 추산된다. 지난해 11월부터 올해 10월까지 이더리움에서는 월 6만~9만건의 샌드위치 공격이 발생했으며, 이 가운데 약 70%가 재러드프롬서브웨이.eth와 관련된 것으로 분석됐다.

이번 공격은 MEV 봇의 자동화된 판단 구조를 노린 방식이었다. 라즈 니브 블록에이드 최고기술책임자(CTO)는 코인텔레그래프에 "이번 사건은 MEV 봇이 사용하는 자동화된 의사결정 로직을 겨냥한 역MEV 허니팟 공격"이라고 말했다.

공격자는 수 주에 걸쳐 래핑이더리움(WETH), USDC, 테더(USDT)와 유사한 이름과 인터페이스를 가진 가짜 토큰 계약 66개를 배포했다. 이어 가짜 유동성풀을 만들어 MEV 봇이 보기에는 수익성 있는 거래처럼 보이도록 설계했다.

재러드프롬서브웨이.eth는 해당 거래를 포착하고 평소처럼 수익 기회를 추적하는 과정에서 공격자 통제 계약에 실제 자금을 사용할 수 있는 권한을 부여한 것으로 전해졌다. 니브 CTO는 "아이러니하게도 이 과정에서 봇은 공격자에게 수백만달러 규모 금고의 열쇠를 넘겨준 셈"이라고 설명했다.

이후 공격자는 단일 거래로 66개 백도어를 호출해 해당 주소에 있던 ETH, USDC, USDT를 모두 빼냈다. 피해 규모는 750만달러 이상으로 집계됐다.

시장에서는 이번 사건이 MEV 봇의 자동화 전략도 역으로 공격 대상이 될 수 있음을 보여준 사례로 보고 있다. 특히 수익 기회를 자동으로 추적하는 봇이 가짜 유동성과 위장 토큰에 노출될 경우, 일반 이용자뿐 아니라 고도화된 MEV 시스템도 대규모 손실을 입을 수 있다는 점이 부각됐다.

가상자산 투자자 데이비드 고크슈테인은 "누구도 이 일을 축하해서는 안 된다"면서도 "이 봇에게 샌드위치 공격을 당해본 적이 있다면, 이 소식에 화가 나지는 않을 것"이라고 말했다.