저자: 니우 샤오징(Niu Xiaojing), 류 홍린(Liu Honglin)

 *본 기사에 나오는 사례는 실제 사건입니다. 관련 당사자들의 피드백을 바탕으로 일부 세부 사항은 비밀로 유지되었습니다. 본 기사에 나와 있는 견해는 공개 정보와 업계 경험에 근거한 것이며 참고용으로만 사용하십시오.

며칠 전, Web3 팀에서 충격적인 일이 발생했습니다.

팀 창립자는 2년 동안 그와 함께 일했고 코드를 알고 있던 핵심 멤버에 의해 100만 개 이상의 암호 자산이 도난당했습니다. 이 회원은 창립자에 의해 처음으로 Web3 산업에 들어왔으며, 창립자는 그에게 처음부터 이 서클에 참여하는 방법을 가르쳤습니다. 나중에 그는 기술적 세부 사항과 시스템 구조에 익숙했기 때문에 특정 권한을 부여받았습니다. 결국 그는 재빨리 전송을 완료하고 개인적으로 백업해 둔 니모닉 문구를 복사하여 도망쳤습니다. 그는 국경에 접근하고 떠날 준비를 하고 있다고 합니다.

이런 사건이 처음 발생한 것은 아니지만 이번에는 '위험 관리 수준'을 상기시켜 줄 뿐만 아니라 인간 본성에 대한 깊은 무력감과 경각심을 일깨워줍니다.

해커에게서 나 자신을 지킬 수 있을 거라 생각했지만, 결국 인간의 마음에 패배하게 될 줄은 몰랐어요.

내부 사기: 심각하게 과소평가된 "고위험"

Web3 변호사로서 저는 이 사건에서 업계에 오랫동안 무시되어 왔지만 극도로 파괴적인 숨겨진 위험을 보았습니다.

내부 사기.

이 단어는 Web3 기업가 정신의 맥락에서 자주 언급되지 않을 수 있지만, 기존 기업에서는 오랫동안 감지하고 예방하기가 매우 어려운 고빈도 문제였습니다. 사전에 단서를 찾는 것은 어렵고, 법 집행 기관이 소송을 제기하기에 충분한 증거를 수집하는 것도 종종 어렵습니다.

피해자가 온체인 자산인 경우 문제는 더욱 심각해집니다.

암호화폐 자산은 기존 자산처럼 동결되거나 회수될 수 없습니다. 일단 옮겨지면 이를 추적하고 복구하는 데 드는 어려움은 기하급수적으로 증가합니다.

웹3 기업가의 "신뢰 역설"

기존 기업은 시스템, 프로세스, 권한 부여에 의존하는 반면, Web3는 신뢰, 협업, 빠른 반복을 강조합니다.

하지만 바로 이런 문화 때문에 많은 Web3 팀이 초기 단계에서 숨겨진 위험을 안고 있습니다.

  • 기술 시스템은 핵심 멤버에 의해 직접 구축되었습니다.

  • 지갑 권한, 거래 스크립트, 자산 전송 경로는 모두 소수의 사람들의 손에 달려 있습니다.

  • 대부분의 팀은 규모가 작고 엘리트로 구성되어 있으며, 한 사람이 여러 직책을 맡고 권한이 집중되어 있습니다.

  • 기본적인 규정 준수 프레임워크와 위험 관리 시스템이 부족합니다.

그래서 매우 위험한 장면이 나타났습니다.

팀원은 전략을 작성하고, 거래를 실행하고, 심지어 지갑을 직접 운영할 수 있는 권한을 가질 수 있습니다.

이런 구조는 인간 본성의 손에 '자폭 버튼'을 건네주는 것과 마찬가지입니다.

설령 그 사람이 "오랫동안 알고 지내면서 개인적으로 팀에 영입한 사람"이라 하더라도, 이해 상충에 직면했을 때 흔들릴 가능성을 배제할 수 없습니다.

특히 현재 불안정한 경제 환경과 외부 압력이 증가하는 상황에서는 어떤 사람이 긴급한 가족적 또는 개인적 위기에 직면해 있는지 알 수 없습니다.

“그는 실력도 좋고 나쁜 사람은 아니다”

저는 도난당한 자산의 창립자가 사건 이후 한 말에 깊은 감명을 받았습니다.

"그 사람일 거라고는 생각도 못 했어요. 제가 이 업계에 데려온 거죠. 우리는 2년 동안 알고 지냈고, 1년 넘게 함께 프로젝트를 진행해 왔죠. 밤낮으로 함께했지만, 한 번도 다툰 적이 없어요. 그는 욕심 많은 사람이 아니에요."

이 문장은 너무나 사실이고 너무 위험해요.

누군가가 "그런 짓을 할 것 같지 않다"고 해서 중요한 순간에 행동을 취하지 않을 거라는 뜻은 아닙니다.

인간의 본성은 선형적이지 않습니다. 돈, 불안, 두려움, 가족의 압박, 갑작스러운 충동... 어떤 변수든 낙타의 등을 부러뜨리는 짚더미가 될 수 있습니다.

나중에 조사팀은 범인이 장기적으로 개인 신용 기록이 좋지 않았고 여러 차례 연체 기록이 있다는 사실을 알아냈습니다. 그는 이전에 계약 계좌에서 잃어버린 돈을 메우기 위해 자금을 훔쳤다고 합니다. 더욱 놀라운 점은 그가 돈을 잃기 전에 실제로 도난이 일어났다는 것입니다.

이는 또한 때로는 악으로 ​​이끄는 것이 단순히 탐욕이나 충동이 아니라 사람이 축적된 압력, 빚, 두려움, 정보 불투명성 사이의 "임계점"에 도달했을 때라는 것을 보여줍니다. 그가 언제 그 단계를 밟을지 알 수 없습니다.

시스템에 "인간 본성에 대한 방화벽"이 없다면, 위험을 관리하는 것이 아니라, 운에 기대어 도박을 하는 셈입니다.

내부 사기는 '사례 문제'가 아니라 '시스템 문제'다

많은 팀이 내부 도난을 접하게 되면, 첫 번째 반응은 상대방이 "나쁘다"고 비난하는 것이지만, 실제 문제는 다음과 같습니다.

  • 그는 왜 그럴 수 있을까?

  • 조기 경보 메커니즘이 없는 이유는 무엇입니까?

  • 왜 아무도 전체 과정 동안 특이한 변화를 알아차리지 못했을까?

이는 개인의 도덕적 결함이 아니라, "모든 사람이 신뢰할 만하다"는 가정을 하는 시스템의 구조적 오류입니다.

특히 암호화폐 산업에서 단일 지점 권한의 결과는 매우 심각합니다.

  • 온체인 자산이 일단 외부로 이체되면 이를 회수하는 것은 거의 불가능합니다.

  • 니모닉 = 소유권, 그것을 소유한 사람이 자산의 소유자입니다.

  • 일부 악성 작업은 몇 분 안에 완료될 수도 있고 스크립트를 통해 완전히 자동화될 수도 있습니다.

시스템 내의 누군가가 전송을 완료하기 위한 모든 메커니즘을 우회할 수 있다면, 시스템은 언제든지 폭발할 위험이 있습니다.

Web3 팀을 위한 4가지 실용적인 제안

과거에 우리가 겪었던 사례와 팀 규정 준수에 대해 축적한 경험을 바탕으로, 우리는 다음과 같은 제안을 드리고자 합니다. 모든 팀이 이를 진지하게 고려하고 가능한 한 빨리 실행하기를 바랍니다.

1. 지갑 권한은 다중 서명 및 분산되어야 하며 개인 키는 절대 그대로 두지 않아야 합니다.

  • Gnosis Safe/Fireblocks와 같은 성숙한 다중 서명 지갑 호스팅 솔루션을 사용하세요.

  • 창립자, 위험 관리, 재무 등 여러 역할을 포괄하는 서명자가 있는 최소 3/5 다중 서명 구조

  • 어떠한 개인도 니모닉 전체를 습득하거나, 키를 개인적으로 내보내거나 로컬에 백업하는 것은 엄격히 금지되어 있습니다.

2. 정책과 실행 시스템은 서로 분리되어야 합니다.

  • 전략가는 실제 거래 시스템을 직접 운영할 수 없습니다.

  • 모든 전략은 온라인에 게시되기 전에 감사, 백테스팅 및 제3자 검토를 통과해야 합니다.

  • 모든 거래에는 추적 및 검색이 가능하도록 완전한 기록이 있어야 합니다.

3. 자산 이전에는 프로세스, 승인 및 기록 보관이 필요합니다.

  • 기본적인 승인 시스템을 구축합니다(Notion + Excel + WeChat 승인 프로세스라도).

  • 금액에 따라 승인 수준을 설정하고, 대량 이체에는 이중 서명과 용도 기록이 필요합니다.

  • 수동 확인일지라도 정기적으로 자금을 조정하세요.

4. 시스템을 만드는 목적은 '악당'을 막는 것이 아니라, '착한 사람'이 실수를 덜 하도록 막는 것입니다.

  • 무슨 일이 일어난 후에 시스템을 고치는 것은 너무 늦습니다.

  • 권한의 경계는 제약이 아니라 보호입니다.

  • "나쁜 놈들을 막는 것"은 또한 "좋은 놈들이 그 순간의 열기 속에서 실수를 저지르는 것을 막는 것"을 의미합니다.

“인간의 본성은 시험에 부칠 수 없다”

누군가 이렇게 말했습니다. "사람이 좋은 사람이냐 나쁜 사람이냐는 그 사람이 돈과 자유를 가졌을 때 어떻게 행동하느냐에 달려 있다."

하지만 저는 다음 내용에 더 동의합니다.

인간의 본성은 시험될 수 없습니다. 이 시스템은 최고의 방화벽입니다.

모든 사람이 당신을 배신하는 것은 아니지만, 한 사람의 양심에 전체 시스템의 안전을 걸 수는 없습니다.

진정으로 성숙한 경영이란 신뢰를 바탕으로 권한을 위임하는 것이 아니라, 인간의 본성을 이해하고 존중하여 아무에게도 행동할 기회를 주지 않는 것입니다.

Mankiw 변호사의 요약

Web3는 빠르게 변화하고 매우 불안정한 산업입니다. 우리는 시장 기회에 대해 논의하고, 서사적 논리에 대해 이야기하고, 시장 변동을 주시하지만, 실제로 많은 팀을 붕괴로 몰아가는 것은 시장 자체가 아니라 내부 신뢰의 붕괴입니다.

시장에는 손해를 볼 수 있지만, 시스템에는 먼저 손해를 보지 마세요.

다음 세 가지 사항을 확인해 보세요.

1. 자금의 "단일 지점 통제"를 담당하는 회원이 있습니까?

2. 흔적도 남기지 않고 한 사람이 결정하는 거래 로직이 있나요?

3. 개인 키와 니모닉이 물리적 환경에 안전하지 않은 방식으로 저장되어 있습니까?

도움이 필요하시면 다음과 같이 도와드리겠습니다.

  • "Web3 내부 자산 위험 관리 자체 점검 체크리스트"를 작성하세요.

  • "암호화폐 자산 운영 관리 시스템" 및 "권한 통제 규칙"과 같은 실무 문서 초안 작성

  • 아니면 현재 시스템에서 "가장 큰 단일 위험"이 어디에 있는지 알아내는 데 도움을 드리고 싶습니다.

인간의 본성은 시험될 수 없습니다. 이 시스템은 최고의 방화벽입니다.

꾸준히 움직여야만 멀리 갈 수 있다.