계약 감사는 통과했지만, 온도계는 통과하지 못했다: Polymarket의 '물리적 취약점' 순간
- 핵심 관점: Polymarket 예측 시장은 물리적 센서를 데이터 소스로 의존하기 때문에, 파리 기온 시장에서 극히 낮은 비용의 인위적 조작을 당해, 오라클이 데이터 입력 단계에서의 취약성을 드러냈으며, 이는 블록체인이 오프체인 데이터의 진실성을 보장할 수 없음을 보여준다.
- 핵심 요소:
- 공격자는 드라이기로 샤를 드 골 공항의 무방비 기상 센서를 가열하여 인위적으로 짧은 고온 피크를 만들어냄으로써, Polymarket에서 비정상 기온 구간을 정확히 맞혀 두 번에 걸쳐 약 3만 4천 달러의 이익을 얻었다.
- Polymarket의 대응은 단지 데이터 소스를 또 다른 무방비 공항 센서로 교체하는 것에 그쳤으며, 이익을 회수하거나 물리적 보안을 강화하지 않아 유사 공격에 대한 방어가 부족함을 보여주었다.
- 이번 사건은 과거 대량 자금이 필요한 조작 사례와 달리 비용이 극히 낮아, 물리적 센서가 금융 결제 단말이 될 때 그 보안 가정이 완전히 바뀌었음을 부각시킨다.
- 프랑스 기상청은 '자동화된 데이터 처리 시스템 방해' 혐의로 형사 소송을 제기했으며, 용의자는 최대 7년 징역과 30만 유로 벌금에 처해질 수 있다.
- 이번 사건은 오라클(Oracle)의 근본적인 도전을 드러냈다: 스마트 계약은 온체인 실행의 무결함을 보장할 수 있지만, 오프체인 원시 데이터의 진실성과 신뢰성을 검증할 수는 없다.
원문 저자: Sanqing, Foresight News
프랑스 언론 르 몽드에 따르면, 4월 6일과 15일, 파리 샤를 드 골 공항의 기상 센서가 두 차례 연속으로 이상을 보였으며, 기온이 수 분 만에 3°C 이상 급등한 후 다시 떨어졌고, 마치 아무 일도 없었던 것 같았다. 각 이상 현상 뒤에는 누군가가 Polymarket에서 해당하는 낮은 확률의 기온 구간에 미리 베팅했으며, 두 번 합쳐 수십 달러의 원금으로 약 3만 4천 달러를 챙겼다. 첫 번째 베팅 계정은 이상 현상 발생 이틀 전에야 생성되었다.
프랑스 기상청(Météo-France)은 이후 센서에 대한 물리적 검사를 실시하여 인위적 개입 흔적을 발견했고, 샤를 드 골 공항 헌병대에 '자동화 데이터 처리 시스템 방해'라는 혐의로 형사 고소를 제기했다. AR15 포럼 게시물 분석에 따르면, 프랑스 형법 제323-2조에 근거하고, Météo-France가 공공 기관에 속하기 때문에 관련 혐의는 최대 7년 징역과 30만 유로 벌금에 직면할 수 있다.
이 사기의 기술적 난이도는 거의 제로에 가깝다
Polymarket의 파리 기온 시장의 결제 체인은 다음과 같다: 물리적 센서 → Météo-France → Weather Underground → Polymarket 계약.
이 체인에서 스마트 계약 부분은 감사를 받았고, 데이터 전송은 자동화되어 있으며, Weather Underground의 크롤링도 실시간이다. 유일한 약점은 가장 처음에 있다: 공항 도로변에 세워져 있고, 울타리도 없고, CCTV도 없으며, 누구나 걸어갈 수 있는 온도계.
공격자가 필요한 모든 도구는 배터리를 끼울 수 있는 헤어드라이어 하나다.
Polymarket은 하루 최고 기온을 기준으로 하므로, 일시적인 기온 피크를 한 번만 만들어도 당일의 공식 기록을 바꿀 수 있다.
저녁이나 밤에 행동하는 것이 더 이상적이다. 낮 최고 기온은 보통 이미 지나갔고, 이후의 측정값이 새로운 기록이 되기 더 쉽기 때문이다. 따라서 용의자는 4월 6일 저녁 7시, 4월 15일 저녁 9시 반을 선택했다.
작업 과정은 대략 다음과 같다: 낮은 확률 옵션을 미리 매수하고, 밤에 센서 옆까지 걸어가서, 헤어드라이어를 켜고, 측정값이 목표 온도를 통과할 때까지 기다린 후, 중단하고 떠나서, 체인 상 결제를 기다린다.
전체 작업에는 어떤 기술적 난이도도 없으며, 결제 메커니즘에 대한 약간의 이해와 공항 가장자리까지 걸어갈 용기만 있으면 된다.
Polymarket의 처리 방식: 조용히 온도계를 하나 바꿨다
Polymarket은 이 사건에 대해 어떤 공식 성명도 발표하지 않았다. 그들이 한 유일한 일은 파리 기온 시장의 결제 데이터 출처를 샤를 드 골 공항(LFPG)에서 르 부르제 공항(LFPB)으로 바꾼 것이다.
두 계정의 수익은 취소되지 않았고, 시장은 체인 상 기록에 따라 정상적으로 결제되었다.
르 부르제 공항의 센서 역시 노출된 곳에 세워져 있고, 물리적 보호 장치가 없다. 주소만 바꿨을 뿐, 문제는 그대로다.
이것은 Polymarket에서 처음 발생한 논란도 아니다. 2024년 10월, 한 프랑스 트레이더가 4개의 연관 계정으로 트럼프 선거 배당률을 조작한 혐의로 고발당했으며, 약 8500만 달러의 수익을 냈다고 보도되었다; 2025년 3월, 한 고래가 500만 개의 토큰으로 UMA 거버넌스 투표를 강제로 추진하여 논란의 시장이 '예'로 결론나게 했으며, 관련 금액은 700만 달러였다; 2026년 1월과 3월에는 각각 베네수엘라 및 이란 관련 시장의 이상 베팅이 나타났으며, 후자는 이미 미국 의회의 관심을 받았다...
이전 사건들은 최소 수백만 달러의 자금이나 거버넌스 토큰이 필요했지만, 이번 비용은 단지 헤어드라이어 하나였다.
계약은 감사받았지만, 온도계는 그렇지 않았다
이 이야기에는 어딘가 부조리한 유머 감각이 있다. 블록체인 위에서 운영되며, 탈중앙화와 불변성을 내세우는 예측 시장이, 배터리 헤어드라이어 하나에 의해 두 번이나 바닥에 처박혔다. 암호학은 이 일에 전혀 도움이 되지 않는다. 왜냐하면 그것은 입력 데이터의 진실성을 검증하지 않기 때문이다.
Polymarket에는 현재 173개의 활성 기상 시장이 있으며, 이 시장들의 결제 근거는 대부분 특정 장소의 특정 물리적 센서 하나다.
하나의 센서가 기상 도구로 사용될 때, 그 신뢰도는 아무도 그것을 조작할 동기가 없다는 데서 온다. Polymarket은 그것에 새로운 동기 구조를 부여했지만, 어떤 새로운 물리적 보호도 제공하지 않았다.
Météo-France의 온도계는 자신이 감지한 온도를 성실히 기록했다. 그것은 단지 자신이 이미 금융 결제 단말기가 되었다는 사실을 모를 뿐이다.
