월 200만달러 MEV 털린다… 이더리움, ‘트랜잭션 개별 암호화’ F3B로 막을 수 있을까

이더리움(Ethereum)에서 악성 MEV(최대 추출가치) 공격이 여전히 심각한 리스크로 부각되면서, 트랜잭션을 암호화해 프런트러닝을 막는 ‘플래시 프리징 플래시 보이즈(Flash Freezing Flash Boys, F3B)’ 프로토콜이 차세대 대안으로 주목받고 있다. 다만 이더리움 메인넷 도입까지는 기술·거버넌스 측면에서 넘어야 할 산이 적지 않다는 평가다.

최근 연구에 따르면 이더리움에서는 하루 평균 2,000건에 가까운 ‘샌드위치 공격’이 발생하고, 매달 200만달러(약 28억 8,780만 원) 이상이 네트워크에서 탈취되고 있다. WETH, WBTC, 스테이블코인 등 대규모 스왑을 실행하는 트레이더조차 항상 MEV 공격 노출 위험을 안고 있다는 의미다. 이런 공격이 가능한 핵심 이유는, 블록체인 특유의 투명성 때문이다. 트랜잭션이 실제 실행·최종 확정되기 전, 데이터가 밸리데이터와 봇에 그대로 노출되면서 프런트러닝·백런을 설계할 여지를 주는 구조다.

이를 근본적으로 줄이기 위한 핵심 해법으로 ‘밈풀 암호화(encrypted mempool)’가 제안돼 왔고, 그중에서도 ‘임계값 암호화(threshold encryption)’ 기반 설계가 가장 많이 논의돼 왔다. 초기에는 샤터(Shutter), 페어블록(FairBlock) 같은 프로젝트가 에포크(특정 블록 구간) 단위로 하나의 키를 공유해 트랜잭션을 암호화하는 방식을 실험했다. 이후에는 여러 트랜잭션을 하나의 키로 복호화해 통신 비용을 줄이는 ‘일괄 임계값 암호화(Batched Threshold Encryption, BTE)’ 모델도 등장했다. 그러나 이들 모델은 완전한 MEV 차단에는 한계가 있었다.

트랜잭션마다 키를 따로… F3B가 제안하는 ‘개별 거래 암호화’

F3B는 H. Zhang 등 연구진이 2022년 제안한 설계로, 기존 에포크 단위 임계값 암호화의 취약점을 정면으로 겨냥한다. 페어블록, 초기 샤터 모델처럼 ‘에포크 내 모든 트랜잭션을 하나의 키로 암호화’하는 경우, 해당 블록에 포함되지 못한 트랜잭션까지 함께 복호화되는 문제가 있었다. 이 과정에서 공개되지 말아야 할 주문 정보가 유출되고, 밸리데이터가 새롭게 드러난 데이터를 활용해 추가 MEV를 노릴 여지를 제공한다.

반면 F3B는 ‘트랜잭션 단위(per-transaction)’로 임계값 암호화를 적용한다. 즉 각 트랜잭션이 최종 확정에 도달할 때까지 내용이 외부에 드러나지 않도록 설계한다. 프로토콜의 흐름은 다음과 같다. 먼저 사용자는 트랜잭션을 대칭키로 암호화한 뒤, 이 대칭키 자체를 다시 ‘비밀 관리 위원회(Secret Management Committee, SMC)’만 해독할 수 있는 방식으로 임계값 암호화한다. 이렇게 만들어진 트랜잭션 암호문과 암호화된 키가 한 쌍으로 컨센서스 그룹에 전파·저장된다.

동시에 SMC는 각자 복호화 지분(decryption share)을 준비하지만, 컨센서스가 해당 트랜잭션을 블록에 포함하고 최종 확정할 때까지 이 지분을 공개하지 않는다. 트랜잭션이 파이널리티에 도달하면, SMC 구성원 중 일정 수(임계값) 이상이 복호화 지분을 내놓고, 컨센서스 노드가 이를 검증·조합해 대칭키를 재구성한다. 이후 이 키로 트랜잭션을 복호화·실행하는 구조다.

과거에는 이런 ‘트랜잭션별 암호화’가 계산 비용과 저장 공간 측면에서 지나치게 비효율적이라는 이유로 비현실적인 접근으로 여겨졌다. F3B는 여기서 한발 물러나 ‘트랜잭션 전체가 아니라, 트랜잭션을 암호화한 대칭키만 임계값 암호화’하는 방식을 택한다. 실제 트랜잭션 데이터는 가볍게 처리 가능한 대칭키 암호로 묶고, 무거운 비대칭·임계값 암호화는 소형 키에만 적용하는 식이다. 연구에 따르면, 단순 스왑 기준으로 비대칭 암호화해야 할 데이터 용량을 최대 10분의 1 수준까지 줄일 수 있는 것으로 나타났다.

TDH2 vs PVSS, 두 가지 구현 방식과 성능 차이

F3B는 크게 두 가지 암호 프로토콜로 구현할 수 있다. 하나는 TDH2(Threshold Diffie-Hellman 2)이고, 다른 하나는 PVSS(Publicly Verifiable Secret Sharing)다. 두 방식 모두 목표는 같지만, 누가 어떤 주기로 키를 생성·관리하는지, 위원회 구조를 어떻게 고정하는지에 따라 성능과 유연성이 갈린다.

TDH2는 먼저 SMC가 ‘분산 키 생성(Distributed Key Generation, DKG)’을 실행해 각자 키 지분과 공동 공용키를 만든다. 사용자는 매번 새로운 대칭키를 생성해 트랜잭션을 암호화한 뒤, 그 대칭키를 SMC의 공용키로 임계값 암호화해 체인에 올린다. 이후 체인이 정해진 수의 컨펌을 거쳐 파이널리티에 도달하면, SMC 구성원들이 자신의 복호화 지분을 공개하고, 각 지분이 올바른지 증명하는 NIZK(비대화식 영지식 증명)를 함께 제출한다. 컨센서스 노드는 이 증명을 통해 악의적인 ‘선택 암호문 공격’을 방지하면서, 유효한 지분이 임계값을 넘으면 대칭키를 재구성해 트랜잭션을 복호화·실행한다.

PVSS는 구조가 조금 다르다. 이 경우 위원회는 에포크마다 DKG를 반복하지 않고, 각자가 장기 비밀키와 대응 공용키를 유지한다. 공용키는 온체인에 기록돼 있어 누구나 조회할 수 있다. 사용자는 트랜잭션마다 난수 다항식을 선택하고, 샤미르 비밀 분산(Shamir’s Secret Sharing)을 이용해 비밀 지분을 생성한 다음, 각 신탁자(트러스티)의 공용키로 개별 암호화한다. 이후 재구성된 비밀을 해시해 대칭키를 만드는 구조다.

여기서도 각 암호화된 지분에는 NIZK 증명이 붙는다. 이를 통해 모든 지분이 동일한 비밀에서 파생됐다는 점, 그리고 공개된 다항식 커밋먼트와의 일관성이 검증된다. 이후 트랜잭션 포함·파이널리티 도달·지분 공개·키 재구성·복호화·실행의 흐름은 TDH2 방식과 동일하다.

성능 측면에서 TDH2는 ‘고정 위원회’와 ‘상수 크기의 임계값 암호 데이터’라는 장점 덕분에 상대적으로 효율적이다. 반면 PVSS는 사용자가 직접 어떤 위원회 구성원을 신뢰할지 선택할 수 있는 유연성이 크지만, 각 구성원마다 별도의 공용키 암호화를 수행해야 하기 때문에 데이터 크기와 계산량이 늘어난다.

연구진이 이더리움 지분증명(PoS) 환경을 시뮬레이션한 결과에 따르면, F3B 구현으로 인한 성능 저하는 사실상 미미한 수준이었다. 위원회 규모를 128명으로 설정했을 때, 파이널리티 이후 추가로 발생하는 지연은 TDH2 기준 197ms, PVSS 기준 205ms에 불과했다. 이는 이더리움의 평균 파이널리티 시간 768초 대비 각각 0.026%, 0.027% 수준이다. 저장 공간 측면에서는 TDH2가 트랜잭션당 80바이트 추가 오버헤드만 발생하는 반면, PVSS는 지분·증명·커밋먼트가 위원 수에 비례해 선형으로 증가하는 구조를 보였다. 그럼에도 전체 네트워크 성능·용량 관점에서 ‘무시 가능한 수준’이라는 평가다.

스테이킹·슬래싱으로 지키는 SMC, 한계도 뚜렷

F3B는 비밀 관리 위원회(SMC) 구성원의 ‘정직한 행동’을 유도하기 위해 스테이킹 기반 인센티브·페널티 구조를 설계했다. SMC 트러스티는 일정 지분을 예치하고, 그 대가로 수수료를 받는다. 수수료는 상시 온라인 상태 유지와 프로토콜이 요구하는 처리 성능을 맞추도록 유인하는 장치다.

동시에, 위원회 구성원이 트랜잭션이 최종 확정되기 전에 복호화 지분을 유출하는 경우를 제재하기 위한 ‘슬래싱 스마트컨트랙트’도 포함돼 있다. 누군가 조기 복호화 증거를 체인에 제출하면, 위원회 구성원의 예치금이 몰수되는 구조다. TDH2에서는 특정 트랜잭션 암호문과 대조 가능한 복호화 지분이 곧 위반 증거가 되고, PVSS에서는 복호화된 지분과 해당 트러스티에 특화된 NIZK 증명이 증거로 작동한다.

이런 설계 덕분에 ‘발각 가능한’ 조기 복호화에 대해서는 비용을 크게 높일 수 있다. 하지만 구조적으로 완전히 막을 수 없는 취약점도 남는다. SMC 구성원들이 온체인에 아무런 지분을 올리지 않은 채, 오프체인에서 몰래 모여 키를 재구성·복호화하는 경우는 외부에서 검증하기 어렵다. 결국 다수 위원회 구성원이 정직하게 행동한다는 가정(honest majority)에 여전히 의존할 수밖에 없는 셈이다.

또 다른 공격 벡터는 암호화된 트랜잭션의 ‘지연 실행’ 특성을 악용하는 방식이다. 악의적인 사용자가 대규모 암호화 트랜잭션 스팸을 발생시켜, 블록체인을 사실상 ‘비실행 상태’ 트랜잭션으로 채우는 것이다. 이는 모든 암호화 밈풀 설계에서 공통으로 제기되는 리스크다. 이에 대해 F3B는 사용자가 암호화 트랜잭션을 제출할 때마다 별도의 ‘스토리지 예치금’을 요구하는 구조를 택했다. 예치금은 선불로 차감되며, 트랜잭션이 정상적으로 실행됐을 때에만 일부를 환불받는다. 스팸 공격 비용을 높여 경제적 동기를 약화시키는 장치다.

이더리움 메인넷 도입은 난제… 그럼에도 남는 연구적 의미

F3B는 MEV를 줄이기 위한 암호학적 도구로서 상당히 정교한 설계를 보여주지만, 이더리움 메인넷에 실제로 도입되기까지는 현실적인 장벽이 크다는 지적이 우세하다. F3B는 합의(consensus) 레이어에는 손을 대지 않으면서도, 실행(execution) 레이어에는 ‘암호화 트랜잭션’과 ‘지연 실행’ 메커니즘을 수용할 수 있는 수준의 수정이 필요하다. 이는 머지(The Merge) 이후 이더리움에 도입된 어떤 하드포크보다도 깊은 수준의 변경이 될 가능성이 높다.

특히 현재 이더리움 개발 로드맵은 데이터 샤딩, 롤업 확장, 계정 추상화 등 다른 우선순위 과제가 쌓여 있는 상황이다. 그 안에서 F3B 수준의 근본적인 실행 레이어 변화를 추진하기는 정치·기술적으로 쉽지 않다. 또 SMC 거버넌스, 위원회 구성 탈중앙성, 트러스티 인센티브 구조 등 실전 운영에서 발생할 이슈들도 아직 충분히 검증되지 않았다.

그럼에도 F3B는 ‘연구 마일스톤’으로서 의미가 적지 않다. 무엇보다 이더리움을 넘어, 새롭게 설계되는 레이어1 블록체인이나 지연 실행을 필요로 하는 디파이 애플리케이션 전반에 응용 가능성이 열려 있다. 블록 간격이 1초 미만인 초고속 체인 역시 낮은 블록 타임 덕분에 MEV 리스크가 줄어드는 효과가 있지만, F3B와 유사한 프로토콜을 결합하면 밈풀 기반 프런트러닝 자체를 원천 차단하는 데 한 걸음 더 다가갈 수 있다.

예를 들어, F3B 스타일 설계는 ‘밀봉입찰(시일드 비드) 경매’ 스마트컨트랙트에 적용할 수 있다. 입찰자는 경매 기간 동안 암호화된 입찰가를 제출하고, 이 데이터는 마감 시점까지 완전히 숨겨진다. 이후 입찰 종료와 함께 암호가 해제되며, 스마트컨트랙트가 자동으로 낙찰자와 가격을 결정한다. 이 과정에서 경쟁자의 입찰가를 미리 보고 값을 조정하는 ‘스니핑’이나, 마감 직전 프런트러닝·정보 유출을 방지할 수 있다.

한마디로 F3B는 밈풀 프라이버시와 MEV 완화라는 난제를 풀기 위해, 이더리움 생태계가 어떤 수준의 암호 기술과 프로토콜 설계까지 고려할 수 있는지를 보여주는 ‘상한선’에 가까운 제안이다. 당장 메인넷 도입은 어렵더라도, 향후 차세대 체인·롤업·디파이 프로토콜 설계에 적지 않은 참고점이 될 가능성이 크다.

💡 "MEV 리스크까지 읽는 투자자, 토큰포스트 아카데미에서"

이더리움 MEV, 샌드위치 공격, 암호화 밈풀, F3B 같은 이슈는 이제 개발자만의 언어가 아닙니다.

온체인 프런트러닝과 알고리즘 설계, 밈풀 구조를 이해하는 투자자와 그렇지 않은 투자자의 수익률 격차는 계속 벌어지고 있습니다.

토큰포스트 아카데미는 이런 복잡한 기술·프로토콜 구조를 **"투자 관점"**에서 해석해주는 7단계 마스터클래스입니다.

단순 차트가 아니라, **온체인 구조·MEV·디파이 리스크**까지 입체적으로 이해하도록 설계되어 있습니다.

• 2단계: The Analyst (분석가) – MEV와 구조적 리스크를 읽는 눈

  토크노믹스와 온체인 데이터를 통해, 단순 가격이 아닌 "프로토콜 구조"의 리스크를 분석하는 법을 다룹니다.

  밈풀 구조, 온체인 활동성, 해시레이트·밸리데이터 지표 등으로 네트워크 건전성을 점검하고, 샌드위치·프런트러닝 같은 MEV 리스크에 노출된 섹터/토큰을 구분하는 안목을 기릅니다.

• 4단계: The Trader (테크니컬 & 구조 이해형 트레이더)

  단순 차트 패턴뿐 아니라, "언제·어디서 주문을 내야 MEV에 덜 노출되는지"를 생각하는 트레이딩 프레임을 배웁니다.

  지원·저항, 추세, 호가창 구조를 이해하면서, 대규모 스왑·온체인 트레이딩 시 발생할 수 있는 실행 리스크까지 고려하는 실전 감각을 키웁니다.

• 5단계: The DeFi User (탈중앙화 금융 & 온체인 리스크)

  DEX, 유동성 풀, 렌딩·차입, 수익 파밍 구조를 통해 "MEV에 취약한 포지션"을 구분하는 법을 배웁니다.

  예치·대출·유동성 공급 시, 어떤 지점에서 프런트러닝·백런·가격 왜곡에 노출되는지 이해하고, 구조적으로 방어적인 디파이 활용 전략을 다룹니다.

• 7단계: The Macro Master (거시·프로토콜·구조적 리스크 통합)

  비트코인·이더리움 사이클, 반감기, 유동성뿐 아니라, 프로토콜 설계 변화(EIP, 롤업, 암호화 밈풀 논의 등)가 시장 구조와 MEV 인센티브에 어떤 영향을 주는지 읽는 프레임을 제공합니다.

  F3B처럼 당장은 메인넷에 도입되지 않더라도, "어떤 체인·디파이가 구조적으로 더 안전한지"를 판단하는 기준을 세울 수 있게 도와줍니다.

2026년의 크립토 시장은, 단순히 "무슨 코인을 샀냐"보다

· 어떤 구조 위에서 돌아가는지,

· 어떤 MEV·프런트러닝 리스크를 안고 있는지,

· 어떤 온체인·매크로 신호가 먼저 움직이는지를 이해하는 사람이 살아남는 시장입니다.

토큰포스트 아카데미는 이런 복잡한 내용을 **투자자 눈높이에서 해석**해,

기초 → 분석 → 디파이 → 파생 → 매크로까지 한 번에 이어지는 커리큘럼으로 정리했습니다.

토큰포스트 아카데미 수강 신청하기

커리큘럼: 기초부터 온체인 분석, 디파이, 선물·옵션, 매크로까지 7단계 마스터클래스

파격 혜택: 첫 달 무료 이벤트 진행 중!

바로가기: https://www.tokenpost.kr/membership

💡 자주 묻는 질문 (FAQ)

Q.

F3B 같은 암호화 메모풀이 도입되면 일반 투자자에게 어떤 이점이 있나요?

Q.

거래가 암호화되면 속도나 가스비가 많이 늘어나는 것 아닌가요?

Q.

왜 이더리움에는 당장 F3B가 적용되지 않는 건가요?

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.