개요

주소 접두사 0xbaDc0dE로 알려진 고프로파일 이더리움 MEV 봇이 2022년 9월 27일 해킹당했습니다. 공격자는 봇이 약 804 WETH(당시 약 100만 달러)의 초대형 차익거래를 실행한 지 불과 30분 만에 약 1,101 WETH—약 146만 달러—를 빼냈습니다.

이 봇은 75일간 연속으로 성공적인 MEV 거래를 기록하며 좋은 성과를 보였지만, 갑자기 중단됐습니다. Rekt News가 표현했듯이, 이는 "온체인 카르마의 아름다운 전시"였습니다.

무슨 일이 일어났나: 빠른 타임라인

• MEV 봇이 대규모 차익거래를 실행해 804 WETH(약 100만 달러)를 벌어들였습니다.
• 약 30분 이내에 봇 컨트랙트의 취약점이 악용되었습니다.
• 공격자는 1,101 WETH(약 146만 달러)를 빼내 최근 이익을 포함한 자금을 모두 침탈했습니다.

Etherscan에서 "MEV Bot"으로 라벨된 봇 주소를 확인할 수 있습니다: 0xbaDc0dE.

MEV, 쉽게 설명하면

MEV(Maximal Extractable Value)는 블록 내에서 트랜잭션의 순서를 재배치하거나 삽입·검열함으로써 얻을 수 있는 이익을 뜻합니다. 반드시 나쁜 것만은 아닙니다:

• 긍정적 측면: Arbitrage는 DEXs 전반의 가격을 정렬해 시장 효율성을 높일 수 있습니다.
• 어두운 측면: front-running이나 sandwich 공격 같은 전술은 일반 사용자에게 해를 끼칠 수 있으며—변동성이 큰 밈 코인 시장에서 특히 흔합니다.

실무에서 MEV 셋업은 두 부분으로 나뉩니다:

• mempool과 시장 상황을 감시하는 오프체인 소프트웨어.
• EOA(externally owned account)의 트랜잭션에 의해 트리거되면 거래 로직을 실행하는 온체인 스마트 컨트랙트.

이 사례가 특이했던 이유

많은 DeFi 컨트랙트와 달리, 이 MEV 봇의 소스 코드는 Etherscan에 검증되어 공개되지 않았습니다. 즉 사람이 읽을 수 있는 코드(Solidity, Vyper 등)는 공개되지 않았고—체인에 올라간 컴파일된 bytecode만 존재했습니다.

그 때문에 분석은 다음에 의존해야 했습니다:

• 온체인 트랜잭션을 추적해 봇의 동작을 이해하기.
• 컴파일된 bytecode를 디컴파일하고 리버스 엔지니어링해 약점을 식별하기.
• 로컬 포크에서 익스플로잇을 재현해 공격 경로를 검증하기.

연구진은 결국 익스플로잇 경로를 재현한 증명 개념(POC)을 공개했습니다: Attack PoC.

밈 코인 트레이더가 신경 써야 할 이유

DEXs에서 밈 코인을 거래한다면, 당신은 MEV의 바로 옆마당에 살고 있습니다. 이번 해킹이 알려주는 신호는 다음과 같습니다:

• MEV 봇은 도처에 있다: 그들은 밈 코인 페어에서 흔한 가격 격차와 유동성을 쫓아다니며, 당신의 거래가 front-running이나 sandwich 공격의 대상이 될 수 있습니다.
• 검증되지 않은 컨트랙트는 위험을 증가시킨다: 소스가 공개되지 않은 컨트랙트는 커뮤니티가 감사를 하기 어렵게 만들고, 숨겨진 버그가 오래 남을 가능성이 큽니다.
• 큰 이익은 더 큰 포식자를 부른다: 눈에 띄는 100만 달러 규모의 차익은 온체인을 감시하는 정교한 공격자들의 즉각적인 관심을 끌 수 있습니다.

주요 시사점

• 0xbaDc0dE로 알려진 봇은 100만 달러 차익을 취한 직후 30분 내에 146만 달러를 해킹으로 잃었습니다.
• 컨트랙트 소스 코드는 검증되지 않아 조사자들이 bytecode와 트랜잭션 분석에 의존할 수밖에 없었습니다.
• 이 사례는 MEV 승자가 얼마나 빠르게 표적이 될 수 있는지, 그리고 투명성과 보안이 왜 중요한지를 부각합니다.

더 큰 그림

이번 사건은 온체인 시장이 결코 잠들지 않는다는 사실을 상기시켜 줍니다. 일반 밈 코인 트레이더를 위해 권장사항은 다음과 같습니다:

• MEV를 예상하라: 가능하다면 sandwich 방지 도구를 사용하고, 슬리피지에 주의하세요.
• 투명성을 선호하라: 코드 검증과 보안 리뷰를 거친 프로토콜 및 봇과 상호작용하세요.
• mempool 분위기를 관찰하라: 밈 토큰을 둘러싼 높은 변동성과 과열은 MEV 활동과 위험을 증폭시킬 수 있습니다.

"블록체인 다크 포레스트"에서는 속도와 보안이 모두 중요합니다. 이번에는 100만 달러 차익을 만든 그 속도 자체가 몇 분 뒤 값비싼 익스플로잇을 초래했습니다.