거래소는 한 가지 방식으로 실패하지 않는다. 일곱 가지 방식으로 실패한다. 대부분의 사용자는 자신을 덮친 후에야 다음 실패 모드를 배운다 — 월요일에는 출금됐지만 수요일에는 안 됐던 FTX 고객, 11년이 지나도 여전히 기다리는 Mt. Gox 채권자, 제재 국가에 있는 사용자가 로그인해서 잔고가 잠겨 있음을 발견한 경우.
이 글은 Self-Custody Fundamentals 시리즈의 세 번째다. 첫 번째 not your keys, not your coins 는 논거를 폈다. 두 번째 custodial vs. non-custodial wallets 는 선을 그었다. 이 글은 실제 실패 모드를 목록화한다 — 각각이 어떻게 보이는지, 언제 일어났는지, 그리고 그 일이 당신에게 일어나기 전에 무엇을 할 수 있는지.
TL;DR
- 거래소는 custodian이다. custodian은 최소 일곱 가지의 다른 방식으로 실패할 수 있고, 실패들은 보통 겹친다.
- 일곱 가지 모드: 지급불능, 해킹, 규제 동결, exit scam, 제재, KYC/계정 잠금, 출금 중단.
- 각 모드에는 역사적 선례가 있다 — Mt. Gox, FTX, Celsius, Bitfinex, QuadrigaCX, Bitzlato, BitMart 등.
- 보험, 규제, "감사"는 이 중 어느 것도 사라지게 하지 않는다. 파산 시 누가 변제 순서를 결정하는지를 바꿀 뿐, 파산이 일어날지 여부는 바꾸지 못한다.
- 각 모드에 대한 헤지는 같다 — 키를 본인이 보유하고, 한 venue가 지급 능력, 온라인 상태, 법적 양호함을 유지해야만 작동하는 기기에 의존하지 않게 한다.
모드 1 — 지급불능
거래소가 고객에게 갚아야 할 돈이 부족해진다. 이것이 고전적인 실패이며 리테일 사용자가 가장 과소평가하는 것이다 — UI는 출금이 멈추는 바로 그 순간까지 정확한 잔고를 계속 표시하기 때문이다.
지급불능은 은행을 무너뜨리는 따분한 이유들(부실 대출, hot/cold 지갑 float의 듀레이션 미스매치)과 크립토 특유의 이유들(마켓 메이커도 겸했던 벤처 부문, 담보로 쓰인 토큰 트레저리, 자체 토큰으로 표시된 내부 "유동성" 잔고)로 인해 일어난다. 2022년의 연쇄 — Celsius, Voyager, BlockFi, FTX — 는 지급불능의 연쇄였다.
당신이 얻는 신호: 출금이 "유출 관리를 위해" 일시 중단되고, 경영진은 자금이 안전하다고 트윗하며, 이틀에서 일주일 뒤 Chapter 11이 접수된다. 자금은 안전하지 않았다. 대출되었거나, 담보로 잡혔거나, 식별 가능한 on-chain 잔고로서 애초에 존재한 적이 없었다.
당신에게 남는 것: 청구권, 파산 법원이 선택한 단위로 표시됨(보통 신청일의 USD, 자산의 현재 가치가 아님). Mt. Gox 채권자들은 2024년부터 분배를 받기 시작했다 — 파산 11년 후. FTX 고객들은 더 빠르게 더 나은 결과를 얻었지만 여전히 신청일 달러 가치로 정산되어 그 뒤의 강세장을 놓쳤다.
모드 2 — 해킹
거래소의 hot wallet(때로는 cold wallet)이 공격자에 의해 비워진다. 지급불능과 다른 점: 해킹 당일 아침에 사업 자체는 지급 가능했다. exit scam과 다른 점: 운영자는 가해자가 아니라 피해자다.
역사적 사례: Mt. Gox (2014, ~850k BTC), Bitfinex (2016, ~120k BTC, 2022년 일부 회수), Coincheck (2018, $530M NEM), KuCoin (2020, $280M), Bitmart (2021, $200M), Ronin Bridge (2022, $625M), DMM Bitcoin (2024, $305M), WazirX (2024, $230M).
그다음 어떻게 되는지는 누가 손실을 안느냐에 달려 있다. 일부 거래소들(Binance는 SAFU를 통해, Bitfinex는 해킹 후 토큰을 통해)은 손실을 사회화하고 시간이 지나면서 고객에게 보상했다. 다른 거래소들(Mt. Gox)은 그러지 못했다. 패턴: 거래소가 살아남으면 결국 100% 미만일 가능성이 있지만 일부는 돌아온다. 살아남지 못하면 모드 1을 참조.
흔한 공격 표면: hot wallet 키 침해(가장 흔함), 내부 admin에 대한 social engineering, 트레이딩 또는 서명 인프라에 대한 supply-chain 공격, 연결된 bridge의 스마트 컨트랙트 버그. 거래소가 공개하는(공개한다면) cold/hot 비율은 부분적 지표일 뿐 보장은 아니다 — WazirX 2024 사례에서는 표적이 지갑 경계가 아니라 multisig 서명 인프라였다.
모드 3 — 규제 동결
법원, 규제 기관, 또는 정부 부처가 거래소에 출금 중단이나 특정 계정 동결을 명령한다. 거래소는 정상 운영 중이다 — 지급 가능, 해킹 없음 — 그러나 명령이 해결될 때까지 법적으로 자금을 반환할 수 없다.
두 가지 맛으로 나타난다. 표적형: 특정 계정이 법원 명령, AML 경고 또는 조사로 동결된다(빈번, 보통 몇 주에서 몇 달 내 해결). 일괄형: 거래소 전체 또는 한 국가의 계정이 규제 조치 보류로 동결된다.
일괄형의 예: BitMEX (2020, CFTC 조치로 미국 사용자 제한), Bittrex (2023, SEC enforcement, 미국 사용자 출금 마감일), Binance.US (2023-2024, 규제 압력으로 기능 및 출금 제한), 2022년 제재 이후 유럽 거래소에서 러시아 사용자의 다양한 동결. 표적형은 끊임없는 배경 소음이다. 사용자들은 출금을 시도하다가 이전에 몰랐던 KYC 재검증이 발동되면서 알게 되는 경우가 많다.
동결 동안 할 수 있는 일: 보통 기다리는 것. 때로는 다른 플랫폼으로 이체할 수 있고, 때로는 안 된다. 동결이 청구권을 무효화하지는 않지만 자산이 무기한 동안 비유동적이라는 것을 의미한다 — 결국 받게 되는 가격을 알아볼 수 없을 만큼 길게.
모드 4 — Exit scam
운영자가 도주한다. 해킹과 다른 점: 거래소 자체가 공격자다. 지급불능과 다른 점: 자금이 존재했지만 의도적으로 빼돌려졌다, 나쁜 베팅으로 잃은 것이 아니다.
역사적으로 두 가지 패턴. 직선적인 rug: 작거나 중간 규모의 거래소가 고객 자금과 함께 하룻밤 사이에 오프라인이 된다 — 예: WEX (러시아, 2018, BTC-e 재출범 이후 ~$450M), Africrypt (남아공, 2021, 주장된 ~$3.6B), 그리고 더 작은 venue들의 긴 꼬리. 느린 출구: 운영자가 사망, 실종, 또는 연락 두절되는데 유일한 cold wallet 키 세트를 보유 중이었다 — QuadrigaCX 사건(캐나다, 2019, 단독 보관 중이던 CEO Gerald Cotten이 사망하면서 ~$190M CAD가 잠김)이 원형이고, 이후 조사에서 "사망"이 부차적이며 그 운영은 이미 오래전부터 사기였다고 결론지었다.
신호: 불투명한 소유 구조, 문서화되지 않은 은행 관계, 감사 없음, 공개된 proof-of-reserves 없음, 주장하는 규모에 비해 비정상적인 출금 한도. 각각은 단독으로는 결격 사유가 아니지만 조합은 결격이다. 한 사람이 공개적으로 회사 전부인 거래소에는 특별히 주의해야 한다.
모드 5 — 제재
당신의 계정은 멀쩡하다. 당신의 관할권은 그렇지 않다. 제재 체제 — 미국의 OFAC, EU/영국/UN의 동급 기관 — 가 당신의 국가 또는 당신과 관련된 사람을 지정 목록에 추가한다. 거래소는 이제 법적으로 당신의 접근을 차단해야 하며, 종종 사전 통지 없이 그렇게 된다.
이는 2022년 이래 반복되어 왔다. 이란, 러시아, 벨라루스, 베네수엘라 사용자들은 새로운 제재 패키지가 시행될 때마다 주요 거래소에서 갑작스러운 접근 차단을 겪었다. Bitzlato 압수 사건(2023년 1월, FinCEN 지정, 계정 동결, 프랑스 당국과 협력하여 인프라 압수)은 특히 깨끗한 예다. 지정 대상은 거래소 자체였고 모든 계정은 즉시 도달 불가능해졌다.
제재는 국가만 노리지 않는다. Tornado Cash 주소들은 2022년 OFAC에 의해 지정되었다. 표시된 주소에 닿은 거래소들은 그 결과를 사용자에게 넘겼다. 당신이 제재 관할권에 살고 있거나 제재 대상 주소와 거래한다면(오염된 UTXO를 무심코 받음으로써도) custodian이 그 위험을 지고, 당신의 접근을 닫음으로써 해결한다.
모드 6 — KYC / 계정 잠금
당신은 개별적으로 KYC 또는 AML 보류에 처해진다. 제재 대상도 아니고 거래소가 동결된 것도 아니지만, 특정 거래나 계정 프로파일이 검토를 촉발했다. 계정은 서류 제출 대기로 잠긴다 — 48시간에서 영원히까지 걸린다.
흔한 트리거: "고위험" 주소로부터의 입금(컴플라이언스 팀이 좋아하지 않는 거래소, 믹서, privacy pool), structuring 템플릿과 일치하는 출금 패턴, IP의 국가 변경, 새 기기에서의 로그인, 신분증의 이름 변경. 컴플라이언스 벤더가 당신을 표시하고 검토 대기열이 밀려, 당신은 앉아서 기다린다.
신호: 앱 내 배너, 때때로 신분증의 새 사진과 셀카를 요구하는 이메일. 마찰이 핵심이다 — 많은 사용자가 부분적인 KYC를 포기하고 접근을 완전히 잃는다. 고가 계정의 경우 검토는 자금 출처 문서, 은행 명세서, 몇 년 전 특정 거래에 대한 설명을 요구할 수 있다.
위험은 일시적 불편이 아니다. 잠금이 무기한일 수 있고 그동안 당신의 자산이 비유동적이라는 점이다. 거래소는 규제상 잘못된 일을 하고 있지 않다 — 요구되는 일을 하고 있을 뿐이다. 비대칭은 비용을 당신이 부담한다는 것이다.
모드 7 — 출금 중단
거래소가 "유지보수를 위해 일시적으로" 출금을 중단한다. 때로는 그대로 사실이다 — hot wallet 키 로테이션, chain 업그레이드, 정체 완화 — 출금은 몇 시간 안에 재개된다. 때로는 모드 1의 첫 번째 가시 증상이다.
미리 알 수는 없다. 두 경우 모두 같은 배너가 나타난다. Mt. Gox는 2014년 2월 "transaction malleability" 문제를 들어 출금을 중단했고 3주 후 파산했다. FTX는 2022년 11월 "매우 높은 거래량"을 이유로 출금을 중단했고 며칠 안에 Chapter 11을 신청했다. Celsius는 2022년 6월 "극단적인 시장 조건"을 이유로 출금을 중단했고 한 달 뒤 Chapter 11을 신청했다.
이것이 다른 모드들을 배경 위험에서 즉각적인 손실로 바꾸는 모드다. 지급불능 거래소에 청구권을 가져 부분적으로 회수할 수 있다. 제재 차단으로 접근을 잃었다가 되찾을 수 있다. 그러나 중단 동안 — 실제로 어떤 모드인지 알게 되기까지의 며칠 또는 몇 주 — 당신의 자산은 닿을 수 없다. Mt. Gox/FTX/Celsius 패턴은 출금 중단에서 상황을 완전히 이해하기까지의 시간이 12시간에서 11년에 이를 수 있음을 보여준다.
이것이 당신에게 의미하는 바
이 일곱 모드는 변두리 사례가 아니다. custodial 거래소 사업의 통상 운영 모드들이다. 모든 장기 크립토 사용자는 적어도 하나의 잘못된 쪽에 서 본 적이 있다. 많은 이들이 여러 개에 부딪쳤다.
일곱 모두에 대한 헤지는 같다: 당신이 통제하는 키를, 당신이 통제하는 기기에, 당신이 이해하는 recovery 뒤에 두라. 거래소를 영리하게 사용해서 이 모드들을 피할 방법은 없다 — 모드들은 모델 자체에 내재되어 있다. 올바른 프레임은 운영적이다: 거래소를 그들이 잘하는 일(피아트 온램프, 규제된 트레이딩, 깊이)을 위해 사용하고, 의미 있는 잔고를 필요 이상 오래 거기에 두지 마라.
SSP의 2-of-2 multisig는 self-custody 측의 대응되는 실패 모드 — 기기 분실, 키 침해, 여행 중 접근 상실 — 를 서명 요건을 한 기기에 집중시키지 않고 두 기기에 분할함으로써 해결한다. seed phrase 모범 사례는 그 아래의 recovery 계층을 다룬다.
시리즈의 다음 글 what self-custody actually requires of you는 이 글의 정직한 대응물이다: 거래소는 일곱 가지 방식으로 실패할 수 있고, self-custody는 자신만의 몇 가지 방식으로 실패할 수 있다. 요점은 어느 한쪽이 무위험이라는 것이 아니다. 요점은 어느 쪽 위험 묶음을 짊어질지 당신이 선택한다는 것이다.
