MEV 공격과 에어드롭: 지금 확인하지 않으면 해킹당할 수도?

암호화폐 에어드롭의 그림자: MEV 봇의 위협

암호화폐 에어드롭은 무료로 토큰을 받을 수 있다는 점에서 많은 사용자에게 매력적인 기회로 여겨진다. 그러나 최근 발생한 Wayfinder의 $PROMPT 에어드롭 사건은 이러한 기회가 때때로 심각한 보안 위협을 동반할 수 있다는 사실을 일깨워주었다.

이 사건의 핵심은 ‘Yoink’라는 이름의 *MEV(Maximal Extractable Value) 봇에 관련된다. Yoink는 Wayfinder가 Kaito 사용자들을 대상으로 배포한 클레임 스마트컨트랙트의 취약점을 노려, 총 119 ETH(당시 약 20만 달러) 상당의 토큰을 탈취하는 데 성공했다. Yoink는 사용자들의 클레임 트랜잭션을 **프론트러닝으로 가로채 자신이 먼저 토큰을 클레임 한 후, 이를 Uniswap에서 ETH로 교환하는 방식으로 공격을 감행했다. 이후 해당 ETH는 '0xB16207'로 시작하는 주소로 이동한 것이 확인됐다.

해당 사태는 일부 사용자들이 “에어드롭 토큰을 받지 못했다”며 문제를 제기하면서 수면 위로 떠올랐다. Wayfinder 측은 즉각적으로 클레임 절차를 일시 중단했고 에어드롭을 관리한 TokenTable은 피해 사용자들에게 가스비를 포함한 전액 보상을 약속했다.

Wayfinder는 PRIME 토큰을 스테이킹하거나 소셜 미션을 수행한 사용자들을 대상으로 PROMPT 토큰을 배포하고 있었다. 특히 Kaito 플랫폼 내에서 ‘Yap’을 획득한 사용자들은 전체 공급량의 0.25%를 배정받았으나, 이 일부가 MEV 봇에 의해 가로채진 것으로 알려졌다.

*MEV:블록 생성 전 트랜잭션의 순서를 유리하게 조작하거나 사용자의 거래를 앞질러 수익을 챙기는 행위

**프론트러닝:MEV 봇이 에어드롭 관련 거래를 감지한 뒤 해당 거래보다 먼저 자신의 거래를 블록에 포함시켜 이익을 취하는 방식

Yoink MEV 트랜잭션 / 출처: Etherscan

이번 사건은 단순한 기술적 오류가 아닌, 이더리움 생태계에서 지속적으로 제기되어 온 MEV 공격의 위험성을 다시 한번 드러낸 사례다. 사용자 입장에서는 단순히 에어드롭 참여만으로도 MEV의 표적이 될 수 있는 위험에 노출되어 있으며, 에어드롭에 앞서 스마트컨트랙트의 보안성과 실행 환경에 대한 경각심이 더욱 요구되는 시점이다.

앞선 설명에 MEV와 프론트러닝같은 개념은 개발지식이 없다면 이해가 어려울 것이다. 아래에서 MEV에 대해 알아보자.

MEV의 개념과 공격방식

MEV(Maximal Extractable Value)는 블록 생성 전 트랜잭션의 순서를 유리하게 조작하거나 사용자의 거래를 앞질러 수익을 챙기는 행위로 사용자의 실질적인 피해를 초래한다. 최근에는 Yoink 같은 AI 기반 자동화 MEV 봇이 등장하면서 공격 빈도와 정교함이 크게 증가함에 따라 피해 가능성이 더 커지고 있는 추세다. MEV의 대표적인 공격 유형은 다음과 같다.

MEV 타입 다이어그램 / 출처: Delphi Digital

1. 프론트러닝(Front-running): MEV 봇이 에어드롭 관련 거래를 감지한 뒤 해당 거래보다 먼저 자신의 거래를 블록에 포함시켜 이익을 취하는 방식. 예를 들어, 특정 토큰 가격이 곧 오를 것으로 판단되면 봇이 사용자보다 먼저 해당 토큰을 매수해 차익을 챙긴다. 이는 사용자가 의도한 거래 조건을 무력화시키는 결과로 이어진다. 아래 사례를 통해 자세히 살펴보자.
   
   사례: 사용자가 1만 달러로 10 ETH를 매수하려는 거래를 실행하면서 슬리피지 허용치를 2%로 설정할 경우, 이 트랜잭션은 블록에 포함되기 전 멤풀(mempool)에 노출된다. 이를 감지한 서처(searcher)들은 해당 정보를 기반으로 선제적으로 유동성을 차지하는 프론트러닝(front-running)을 실행할 수 있다. 그 결과, 사용자의 거래는 예상보다 불리한 가격에 체결되며 실제로는 10 ETH가 아닌 약 9.8 ETH만 수령하게 되는 상황이 발생할 수 있다.
2. 백러닝(Back-running): 백러닝은 프론트러닝과 반대로 멤풀의 특정 트랜잭션보다 조금 적은 가스비를 제출해 타겟 트랜잭션의 뒤에 실행되게끔 한다. 타겟 트랜잭션이 큰 슬리피지를 발생시키는 거래일 경우, 봇은 이 트랜잭션을 찾아 백러닝을 통해 차익거래를 달성할 수 있게 된다. 이 밖에도 경쟁적으로 참여하는 NFT 민팅이나 AMM DEX 등의 유동성 풀이 생성 되자마자 가장 먼저 토큰을 구매하기 위한 트랜잭션 등등에 사용될 수 있다.
   
   사례: 사용자가 9.8 ETH를 1만 달러에 거래한 뒤, 해당 거래소에서 ETH 가격은 현재 약 1,020달러로 책정되어 있다. 그러나 글로벌 시장에서의 ETH 가격은 여전히 1,000달러에 머물러 있다. 누군가는 이 가격 차이를 이용해 내 뒤에서 프리미엄 가격으로 ETH를 팔아서 이 가격 차이가 다시 1,000달러로 맞춰질 때까지 수익을 얻을 수 있다.
3. 샌드위치 공격(Sandwich Attack): 사용자의 거래 앞뒤로 MEV 봇이 자신의 거래를 끼워 넣어 인위적으로 가격을 변동시키고 그 차익을 얻는 방식. 대량 거래가 발생하는 에어드롭 참여 시점에는 이런 공격이 더욱 효과적으로 작동하며 결과적으로 사용자는 불리한 가격에 거래를 체결하게 된다.
   
   사례: 사용자가 유니스왑에서 1만 USDC로 40 Y토큰을 구매하려고 한다. 사용자가 이를 멤풀에서 포착하고 더 높은 가스비를 제출해 먼저 1만 USDC로 40 Y토큰을 구매한다. 그렇다면 AMM(Automated Market Maker)에서 Y토큰의 가격은 공격자로 인해 상승하고 사용자는 1만 USDC로 40 Y토큰을 구매하는 것이 아니라 더 적은 수의 Y토큰밖에 구매하지 못할 것이다. 공격자는 다시 사용자의 거래 바로 뒤에 구매했던 40 Y토큰을 구매했던 가격보다 더 비싼 가격에 팔 수 있게 되고 1만 USDC보다 더 많은 양의 USDC를 얻을 수 있게 된다.

멤풀(Mempool)과 트랜잭션 

이런 공격은 대부분 *멤풀(mem pool)에 공개된 트랜잭션을 실시간 분석하고 자동화 봇이 가스비를 조절해 개입하는 방식으로 이뤄진다. 실제 사례로는 유니스왑에서 대량 스왑 거래 직전에 발생한 샌드위치 공격이나 Solana 기반 밈코인 생성 플랫폼 Pump.fun에서의 프론트러닝, EigenLayer 리스테이킹 시도 시의 우선 트랜잭션 점유 등이 있다. 또한 Blur 플랫폼에서는 NFT 담보 대출의 청산 조건이 임박한 상황을 노린 MEV 봇의 개입 사례도 보고된 바 있다.

*멤풀(mempool): 블록에 포함되기 전 트랜잭션들이 임시로 저장되는 공간

MEV 방지법

이런 공격을 막기 위한 사용자 직접 대응법도 있다. 가장 효과적인 방법 중 하나는 *프라이빗 트랜잭션 서비스를 이용하는 것이다. Flashbots Protect나 MEV Blocker 같은 **프라이빗 RPC를 사용하면 트랜잭션이 퍼블릭 멤풀에 노출되지 않기 때문에 MEV 봇이 이를 가로채기 어렵다.

특히 에어드롭처럼 클레임 후 바로 가치 있는 토큰을 받는 구조에서는 이런 보호 조치를 취하는 것이 필수다. 이 밖에도 스마트컨트랙트를 설계할 때 서명 기반 클레임 방식(EIP-712)을 도입하거나 클레임 트랜잭션을 자동으로 릴레이 하는 구조 등을 활용하면 MEV 공격을 사전에 방지할 수 있다.

MEV 공격처럼 구조적인 리스크 외에도 에어드롭 참여 과정에서는 보다 광범위한 보안 위협에 노출되는 경우가 많다. 공격자는 단순히 클레임 트랜잭션을 가로채는 것을 넘어 피싱 링크나 악성 토큰, 가짜 웹사이트 등 다양한 수법을 통해 사용자의 지갑 자체를 노릴 수 있다. 특히 사회공학적 기법과 AI가 결합되면서 일반 사용자 입장에서의 보안 리스크는 점점 더 현실적인 위협으로 다가오고 있다. 따라서 기술적 조치만큼이나 중요한 것은 사용자가 직접 실천할 수 있는 구체적인 보안 수칙과 습관을 갖추는 것이다.

*프라이빗 트랜잭션: 트랜잭션 내용을 공개 멤풀에 올리지 않고, 특정 경로로만 전송해 MEV 공격(프론트러닝 등)을 방지하는 방식.
**프라이빗 RPC: 외부 접근을 제한하고 트랜잭션을 안전하게 처리하여 MEV 공격을 방지하는 보안 강화된 네트워크 통신 방식

에어드롭 참여자를 위한 실전 보안 수칙

에어드롭은 신규 프로젝트의 토큰을 무료로 받을 수 있는 기회이지만 동시에 다양한 보안 위협에도 노출된다. 이에 에어드롭 참여 시 철저한 보안 관리가 무엇보다 중요하다.

특히 최근에는 유명 프로젝트를 사칭한 가짜 에어드롭 링크나 무단 배포되는 스캠 토큰을 통한 승인 유도, 트랜잭션 서명을 이용한 권한 탈취 등 치밀한 수법들이 반복되고 있다. 이런 위협은 단순한 주의만으로는 피하기 어렵고 기술적인 도구와 실천 가능한 보안 습관을 함께 병행해야만 실제로 자산을 보호할 수 있다. 아래에서 몇 가지 솔루션을 살펴보자.

암호화폐 보안 기본수칙 / 출처:fastercapital

1. 자산을 보관하는 메인 지갑과 작업용 지갑을 구분해 사용하고 가능하면 하드웨어 지갑은 자산 보관 전용으로 쓰는 것이 안전하다. 여러 개의 지갑을 만들게 되므로 니모닉은 수기로 기록하고 구글 계정 단위로 메타마스크나 수이(Sui), 페트라(Petra) 지갑 등을 묶어 관리하면 효율적이다. 또한 지갑 주소와 입출금 내역은 엑셀로 정리해 두면 후속 작업에 유리하다.
2. 자산을 보관하는 메인 지갑과 작업용 지갑을 구분해 사용하고 가능하면 하드웨어 지갑은 자산 보관 전용으로 쓰는 것이 안전하다. 여러 개의 지갑을 만들게 되므로 니모닉은 수기로 기록하고 구글 계정 단위로 메타마스크나 수이(Sui), 페트라(Petra) 지갑 등을 묶어 관리하면 효율적이다. 또한 지갑 주소와 입출금 내역은 엑셀로 정리해 두면 후속 작업에 유리하다.
3. 피싱 방지를 위해선 ScamSniffer나 Wallet Guard 같은 브라우저 확장 프로그램이 효과적이다. 이를 통해 가짜 에어드랍 페이지나 악성 링크로부터 사용자를 보호할 수 있다.
4. 계정 보안을 위해 구글 계정에는 2단계 인증을 적용하고 OTP 기반 보안을 유지해야 한다. 네이버나 마이크로소프트 계정 역시 2FA와 의심 로그인 차단 기능을 활성화하는 것이 좋다.
5. Node VPN을 통해 공용 와이파이 사용 시 보안을 강화하거나 Sybil 방지를 위한 IP 변경에 활용할 수 있다. 추가로 AdGuard와 같은 광고 차단기는 피싱 링크가 포함된 배너를 막아주는 효과가 있다.
6. GoPlus Security 등으로 스마트 컨트랙트와 토큰의 위험성을 사전에 분석하는 것도 좋은 습관이다.

Wayfinder 사건은 모든 에어드롭 참여자가 겪을 수 있는 구조적인 위험을 보여주는 대표적인 사례다. 특히 AI와 자동화가 결합된 MEV 봇은 더 정교하고 빠르게 사용자의 자산을 노린다.

사용자는 지갑 분리나 서명 확인, 승인 관리 같은 기본 수칙과 더불어 단순 클릭마저도 보안을 전제로 조심하는 것이 필수적이다.

암호화폐 생태계에서 보안은 오롯이 개인의 책임이다. 기회를 잡고 싶다면, 준비부터 철저히 해야 한다.