플래시 론 공격 설명: 해커들이 단일 블록에서 DeFi를 고갈시키는 방법

— By Tony Rabbit in Tutorials

플래시 론 공격 설명: 해커들이 단일 블록에서 DeFi를 고갈시키는 방법

플래시 론 공격은 합법적인 DeFi 기본 요소를 무기화하여 담보 없이 수백만 달러를 빌리고, 가격을 조작하며, 이 모든 것을 하나의 아토믹 트랜잭션으로 상환합니다. 이 메커니즘이 어떻게 작동하고 프로토콜이 어떻게 방어하는지 설명합니다.

플래시 론 공격은 공격자가 담보 없이 막대한 양의 암호화폐를 빌려 이를 사용하여 가격 피드를 왜곡하거나 유동성 풀의 균형을 깨뜨리고, 취약한 프로토콜에서 가치를 추출한 다음, 이 모든 것을 단일 블록체인 트랜잭션 내에서 전체 대출금을 상환하는 DeFi 익스플로잇입니다. flash loan 그 자체는 탈중앙화 금융의 합법적인 구성 요소입니다. 공격은 해당 기본 요소가 신뢰해서는 안 되는 가격이나 잔액을 신뢰하는 프로토콜을 겨냥할 때 발생합니다. 모든 것이 단일 블록에서 아토믹하게 정산되기 때문에 공격자는 gas 수수료 외에는 거의 아무것도 위험을 감수하지 않으며, 이것이 바로 이러한 종류의 익스플로잇이 해커들이 DeFi를 고갈시키는 가장 흔한 방법 중 하나가 된 이유입니다.

핵심 요약

  • flash loan은 동일한 트랜잭션 내에서 상환되어야 하는 무담보 대출이며, 그렇지 않으면 전체가 되돌려집니다.
  • 공격은 빌린 자본이 가격 오라클을 조작하거나 풀의 균형을 깨뜨리는 데 사용된 다음, 왜곡된 상태를 신뢰한 프로토콜로부터 이익을 얻을 때 발생합니다.
  • 아토믹성은 공격자의 자본 위험을 제거합니다. 익스플로잇이 실패하면 gas만 잃습니다.
  • 가장 강력한 방어책은 조작 방지 오라클 (TWAP), 재진입 방지 장치, 그리고 합리적인 예치 및 대출 한도입니다.

플래시 론 공격의 해부, 단계별 설명

모든 flash loan 공격은 동일한 4단계 리듬을 따르며, 이 네 단계 모두 하나의 트랜잭션 내에서 실행됩니다. 첫째, 공격자는 담보 없이 대출 풀에서 많은 양의 토큰을 빌립니다. 둘째, 그들은 해당 자본을 하나 이상의 프로토콜을 통해 라우팅하여 수익성이 있지만 인위적인 조건을 만듭니다. 셋째, 그들은 결과적인 가치를 추출합니다. 넷째, 그들은 원래 대출금과 소액의 수수료를 상환합니다. 트랜잭션이 끝날 때까지 상환이 이루어지지 않으면 블록체인은 아무 일도 없었던 것처럼 모든 단계를 거부합니다.

핵심 통찰은 flash loan이 대규모 조작의 일반적인 장벽인 '돈'을 제거한다는 것입니다. 일반적으로 시장을 조작하여 익스플로잇하려면 공격자가 막대한 자산을 보유해야 합니다. flash loan을 사용하면 그 자산은 단일 블록 기간 동안 빌려집니다. 기본 요소 자체의 기본적인 메커니즘을 알고 싶다면, flash loan이 무엇인지에 대한 가이드에서 동일한 코드 경로가 가능하게 하는 합법적인 사용 사례를 다룹니다.

두 가지 고전적인 플래시 론 공격 패턴

개별 익스플로잇은 복잡해 보이지만, 압도적인 대다수는 두 가지 패턴 중 하나로 귀결됩니다. 첫 번째이자 가장 흔한 것은 오라클 및 가격 조작입니다. 많은 DeFi 프로토콜은 온체인 소스, 종종 단일 탈중앙화 거래소 풀에서 자산의 가격을 읽어옵니다. 공격자는 빌린 자금을 사용하여 해당 풀에 대해 엄청난 스왑을 수행하여 보고된 가격을 잠시 현실과 크게 다르게 만듭니다. 예를 들어 담보를 평가하거나 파생상품을 발행하기 위해 해당 현물 가격을 사용하는 대상 프로토콜은 이제 거짓말을 기반으로 작동하며, 공격자는 가격이 수정되기 전에 그 격차를 악용합니다.

두 번째 패턴은 풀 불균형 악용입니다. 여기서 공격자는 반드시 가격 피드를 위조하는 것이 아니라, 대신 풀의 잔액이 극단으로 치달았을 때 풀이 지분, 보상 또는 환율을 계산하는 방식의 수학적 원리를 악용합니다. 새로 배포되었거나 자본이 부족한 볼트는 특히 취약합니다. 단일 대규모 예치 또는 기부가 각 예치 단위가 가치 있는 지분 수를 결정하는 비율을 왜곡할 수 있기 때문입니다. 가격 측면에 대해 더 자세히 알아보려면, DeFi의 오라클 조작가격 오라클이 실제로 무엇인지에 대한 분석을 참조하십시오.

공격 패턴공격자가 왜곡하는 것주요 방어책
오라클 / 가격 조작얕은 풀을 통해 대규모 거래를 수행하여 보고된 자산 가격시간 가중 (TWAP) 또는 다중 소스 오라클
풀 불균형 악용잔액이 극단으로 치달았을 때의 지분 또는 보상 계산최소 유동성, 가상 지분, 예치 한도
재진입과 결합콜백 내 상태 업데이트 순서재진입 방지 장치, checks-effects-interactions

아토믹성이 플래시 론 공격을 가능하게 하는 이유

이러한 익스플로잇이 가능하면서도 막기 어려운 이유는 한 가지 속성으로 귀결됩니다. 바로 아토믹성입니다. 대부분의 스마트 계약 체인에서 트랜잭션은 완전히 성공하거나 완전히 되돌려집니다. 중간 상태는 없습니다. 이는 일반적으로 안전 기능입니다. flash loan의 경우 이는 설계의 전체 기반이 됩니다. 대출자는 최종 명령까지 차용인이 상환하지 않으면 전체 트랜잭션이 되돌려지고 대출금이 풀을 떠나지 않았음이 수학적으로 보장된다는 것을 알기 때문입니다.

바로 그 보장이 공격자를 보호합니다. 그들의 익스플로잇은 수익성 있게 완료되거나, 실행되지 않은 것처럼 사라집니다. 그들은 미완성 포지션이나 미지급 부채를 안게 되지 않습니다. 일반적으로 조작을 막는 자본 위험은 실패한 시도의 gas 비용으로 줄어듭니다. 방어자들은 단순히 대규모 대출을 금지할 수도 없습니다. 차익 거래 및 담보 스왑과 같은 flash loan의 합법적인 사용 사례가 정확히 동일한 메커니즘에 의존하기 때문입니다.

실제 플래시 론 공격은 어떤 모습일까

실제로, 실제 익스플로잇은 하나의 트랜잭션에 압축된 정교하게 안무된 시퀀스입니다. 공격자는 수백만 달러에 달할 수 있는 금액을 빌려 이를 여러 프로토콜에 분할하고, 조작된 값을 읽도록 하나의 대상을 남겨두도록 설계된 스왑 및 예치 체인을 트리거합니다. 그 정점에서, 왜곡된 가격 또는 불균형 비율이 극단에 달했을 때, 공격자는 거짓말을 인출된 가치로 전환하는 행동을 수행한 다음, 남은 것으로 즉시 대출금을 상환합니다.

외부 관찰자에게는 다음 블록이 채굴되기 전에 전체 이벤트가 끝납니다. 프로토콜을 일시 중지할 시간도 없고, 차익 거래자들이 가격을 수정할 시간도 없으며, 종종 나중에 자금을 회수할 방법도 없습니다. 이것이 DeFi에서 발생하는 많은 다중 프로토콜 손상이 이 단일 기술로 거슬러 올라가는 이유이며, 2026년 주요 DeFi 손실 개요와 같은 반복되는 사건 요약에서 볼 수 있는 패턴입니다. 대상이 다르더라도 형태는 거의 항상 동일합니다.

프로토콜이 플래시 론 공격에 방어하는 방법

대출 기본 요소를 제거할 수 없기 때문에, 방어는 조작을 무의미하게 만드는 데 중점을 둡니다. 가장 중요한 단일 조치는 조작 방지 오라클을 사용하는 것입니다. 시간 가중 평균 가격 (TWAP)은 여러 블록에 걸쳐 평균화된 가격을 보고하므로, flash loan으로 인한 단일 블록 스파이크는 거의 영향을 미치지 않습니다. 여러 독립적인 소스에서 데이터를 가져오거나 강력한 오프체인 오라클 네트워크에서 가져오는 것은 순간적인 왜곡을 무의미하게 만드는 동일한 효과를 가집니다.

오라클 외에도, 잘 구축된 프로토콜은 공격자가 함수 실행 중에 재진입하는 것을 막기 위해 재진입 방지 장치를 추가하고, 단일 트랜잭션이 시스템을 위험한 극단으로 몰고 가지 못하도록 예치 및 대출 한도를 적용하며, 출시 시 지분 계산이 왜곡되지 않도록 볼트에 최소 또는 가상 유동성을 시드합니다. 많은 프로토콜은 또한 가격이나 잔액이 한 블록 내에서 비정상적으로 크게 변동하는 경우 트랜잭션을 거부하는 건전성 검사를 추가합니다. 이들 중 어느 것도 만능 해결책은 아니지만, 함께 공격 비용을 보상보다 높여, 이것이 진정한 목표입니다.

프로토콜 사용자에게 플래시 론 공격이 의미하는 것

사용자로서 당신은 flash loan 공격의 직접적인 대상이 되는 경우는 드물지만, 그 여파에 매우 노출되어 있습니다. 당신이 예치한 프로토콜이 고갈되면 손실은 사회화됩니다. 풀은 비워지고, 당신의 지분은 가치를 잃으며, 복구는 종종 부분적이거나 존재하지 않습니다. 당신의 방어책은 감사를 받았고, TWAP 또는 다중 소스 오라클을 사용하며, 시장에서 충분히 오래 살아남아 검증되었고, 얇고 쉽게 기울어지는 풀보다는 의미 있는 유동성을 보유한 프로토콜을 선호하는 것입니다.

새로 출시된 볼트와 감사받지 않은 수익 농장은 미성숙한 지분 계산이 빈번한 대상이므로 가장 주의해서 다루십시오. 자금을 투입하기 전에, 다른 온체인 위험을 검토하는 것과 같은 방식으로 프로토콜의 오라클 설계 및 감사 이력을 확인하는 것이 좋습니다. 암호화폐 사기 방지 종합 가이드는 이 특정 위험을 보완하는 더 넓은 실사 습관을 다룹니다. 반복되는 교훈은 간단합니다. DeFi에서 프로토콜이 신뢰하는 가격은 공격 표면의 일부이며, 당신의 것도 마찬가지입니다.

이 기사는 교육 목적으로만 제공되며 재정적 조언이 아닙니다.