프라이빗 L2 메모풀에서 샌드위치 공격의 실체와 한계

초록

본 논문은 프라이빗 메모풀을 운영하는 이더리움 롤업에서 샌드위치 공격의 경제성, 실행 가능성 및 실제 발생 빈도를 정량적으로 분석한다. 최적 프런트‑런·백‑런 규모를 이론적으로 도출하고, 시퀀서의 주문 규칙(FCFS vs. PGA)과 타임‑슬립을 고려한 공동 포함 확률 모델을 제시한다. 실제 롤업 데이터에 적용한 결과, 기존 히스토리 기반 탐지 기법이 과도하게 과대평가된 반면, 대부분의 의심 패턴은 경제적 이익이 없으며, 중간 규모 스왑에서도 기대값이 음수임을 확인한다. 따라서 현재 프라이빗 메모풀 구조에서는 샌드위치 공격이 드물고 비수익적이라는 결론에 도달한다.

상세 분석

이 논문은 먼저 기존 CPMM(고정 곱) 모델을 확장해 CLMM(집중 유동성) 구조에서도 최적 프런트‑런 크기를 도출한다. 작은 거래 가정(α_f, α_v ≪ 1) 하에서 이익 함수는 2차식으로 근사되며, 최적 프런트‑런 규모 V*₍f₎는 피해자 입력 V_v의 절반, 즉 “반‑피해자” 규칙을 재현한다. CLMM에서는 유동성이 틱 경계에서 급격히 변하므로, 공격자는 얇은 유동성 구역으로 피해자를 끌어들여 추가 이익을 얻을 수 있다. 이때 필요한 최소 프런트‑런 크기 V_gap_f는 경계 넘어가는 데 필요한 양으로 정의된다.

두 번째로, 프라이빗 메모풀 환경에서의 실행 가능성을 모델링한다. 롤업 시퀀서는 크게 (1) 도착 시간 우선(Fcfs)과 (2) 팁 우선(PGA) 두 가지 정책을 사용한다. 두 정책 모두 프런트‑런, 피해자, 백‑런이 동일 블록(또는 마이크로 배치) 내에 포함되고 순서가 f ≺ v ≺ b 이어야 한다. 이를 위해 저자는 배치 윈도우 T_s, 블록 시간 T_b, 도착 시간 변동 σ 등을 변수로 하는 공동 포함 확률 p(co‑inc)≈max(0,1−Δ/T_s)·p_policy·exp(−Δ²/2σ²) 를 제시한다. 실험적 파라미터(T_b 200‑500 ms, T_s 300‑800 ms, σ≈50 ms)를 적용하면 p(co‑inc)는 5 %~20 % 수준에 머물러, L1의 번들 마켓을 통한 거의 확정적 포함과는 큰 격차가 있다.

세 번째로, 기대값(EV) 분석을 수행한다. 최적 프런트‑런 규모를 적용한 경우 총 이익은 Π*_gross ≈ (1/4)L·V_v² 로 표현된다. 그러나 실제 수익은 p_succ·Π*_gross에서 가스 비용(C_gas≈0.2‑0.7 USD)과 자체 슬리피지(C_slip)를 차감한 값이다. p_succ가 0.05‑0.20이라면, 양호한 기대값을 얻기 위해서는 피해자 스왑 규모 V_min_v가 약 1.5k‑3k USD 이상이어야 한다. 롤업 데이터에서 관측된 중위 피해자 스왑은 200‑1,200 USD 수준으로, 이 기준에 크게 못 미친다. 따라서 경제적으로 최적화된 공격이라 할지라도 기대값은 대부분 음수이며, 실제 수익을 내는 사례는 극히 드물다.

마지막으로, 실증 분석에서는 주요 롤업(Arbitrum, Optimism, zkSync, StarkNet 등)의 트랜잭션 레벨 데이터를 수집해 기존 히스토리 기반 탐지(전/후 트랜잭션 매칭)와 새롭게 제안한 스왑 이벤트 기반 매칭을 비교한다. 전자는 95 % 이상의 패턴이 경제적 일관성을 결여한 거짓 양성으로 판정되었으며, 전체 샌드위치 효율성은 100건당 0.05 이하에 불과했다.

이러한 이론·실증 결합은 프라이빗 메모풀 설계가 MEV 억제에 효과적임을 입증한다. 다만, 롤업이 퍼블릭 메모풀, 디더링 경매, 혹은 고가치 거래가 늘어날 경우, 현재의 확률적 실행 모델이 변동될 가능성이 있기에 시퀀서 정책과 가스 팁 구조를 지속적으로 재평가해야 한다는 점을 강조한다.