플래시 대출이 암호화 시장을 조작하는 데 사용되는 방법

최근 보고서에 따르면 플래시 론 공격이 증가하고 있습니다. 그들은 무엇이며 위험은 무엇입니까?

담보 없이 거의 무제한에 가까운 대출을 받을 수 있다고 상상해 보십시오. 단 하나의 문제가 있습니다. 거의 즉시 갚아야 합니다. 이상하게 들리나요? 아마도 그렇습니다. 그러나 그것이 바로 플래시론입니다. 이름에서 알 수 있듯이 이러한 대출은 거의 즉각적으로 이루어집니다. (빛의 속도로 여행할 수 있는 DC Comic 슈퍼 히어로 플래시를 생각해 보십시오.)

De.Fi의 최근 보고서에 따르면 플래시 론이 증가하고 있으며 악의적인 행위자가 이를 악용하는 익스플로잇이 증가하고 있습니다. 올해 1분기에 이러한 유형의 익스플로잇을 통해 200억 달러의 손실이 발생했습니다. 

그런데 왜 누군가가 거의 즉각적인 대출을 받고 싶어할까요? 음, 암호화폐의 많은 것들과 마찬가지로 좋은 수익으로 귀결됩니다.

Flash Loan 및 Flash Loan 공격 설명

플래시론의 논리는 작은 가격 차이를 이용하는 과정인 차익 거래에 의존합니다. 다른 종류의 대출과 달리 플래시론은 긴 승인 절차가 필요하지 않아 신속하게 실행할 수 있습니다. BeInCrypto와의 인터뷰에서 De.Fi의 소프트웨어 아키텍트인 Artem Bondarenko는 "단일 거래 대출에 관련된 낮은 수수료를 감안할 때 높은 수익을 얻을 수 있는 엄청난 잠재력이 있습니다."라고 설명했습니다. “일시 대출 채권자의 경우 대출금이 바로 반환되기 때문에 위험이 없습니다. 그렇지 않으면 거래가 실패합니다.”

전통적인 금융에서는 플래시론과 똑같은 것이 없습니다. 콜 옵션과 비슷하지만 몇 가지 중요한 차이점이 있습니다. 플래시론은 빌린 돈을 바로 사용할 수 있지만 콜옵션은 기다려야 한다. 또한 전통적인 금융에서는 거래가 일반적으로 한 번에 하나씩 발생하지만 플래시 대출에서는 블록 단위로 발생합니다. 그러나 De.Fi의 보고서에서 설명하는 것처럼 이러한 단기 상품에 단점이 완전히 없는 것은 아닙니다.

Bondarenko는 "누군가가 한 곳에서 막대한 금액을 빌린 후 이를 사용하여 대량 구매 또는 판매를 통해 가격을 조작함으로써 자산 가격에 영향을 미칠 때 플래시 론 공격이 발생합니다."라고 말했습니다. "그런 다음 그 가격 변화를 이용하여 다른 쪽에서 반대쪽 구매 또는 판매를 이용하여 두 곳에서 가격 사이의 차익 거래를 생성한 다음 원래 대출금을 상환하고 차액을 주머니에 넣습니다."

Bondarenko는 "유동성 프로토콜이 올바른 가격 책정 오라클로 적절하게 설계되면 문제가 되지 않지만 설계가 불량한 경우 악용될 수 있는 취약점이며 대량 청산 이벤트로 이어질 수 있습니다."라고 덧붙였습니다.

피해자는 누구입니까?

플래시론은 담보를 제공하지 않고 대량의 암호화폐를 빌릴 수 있기 때문에 공격자에게 매력적입니다. 이러한 공격을 방지하기 위해 코드 감사 및 강력한 스마트 계약 설계와 같은 더 나은 보안 조치를 구현할 수 있으며 잠재적인 공격 벡터에 대한 인식이 DeFi 생태계 내에서 높아질 수 있습니다.

13월 XNUMX일 잘 알려진 이더리움 기반 대출 프로토콜인 Euler Finance가 해킹을 당했고 공격자는 여러 트랜잭션을 실행하여 Dai, USDC, Staked Ethereum 및 Wrapped Bitcoin과 같은 다양한 암호화폐 수백만 달러 가치를 훔쳤습니다. 

도난당한 총 금액은 거의 196억 8.7만 달러였으며 Dai 18.5만 달러, WBTC 135.8만 달러, StETH 33.8억 XNUMX만 달러, USDC XNUMX만 달러였습니다. 

공격자는 탈취한 자금을 바이낸스 스마트체인에서 멀티체인 브릿지를 이용해 이더리움으로 옮긴 뒤 플래시론 공격을 감행했다. 그들은 훔친 자금을 잘 알려진 암호화 믹서인 Tornado Cash에 예치하여 복구 노력을 복잡하게 만들고 신원을 숨겼습니다.

한 달 전인 16월 8,500,887일, 자동화된 마켓 메이커인 Platypus Finance는 별도의 플래시 론 공격을 받았습니다. 공격자는 USDC, USDT, BUSD 및 DAI를 포함하여 $XNUMX 상당의 스테이블 코인을 훔쳤습니다. 

이 경우 공격자는 USP 지급 능력 확인 메커니즘의 취약점을 이용했습니다. 이 과정에서 공격자는 44,000,000 USDC의 플래시 대출을 확보한 다음 44,000,000 Platypus LP-USD로 스왑했습니다. 그런 다음 비용 없이 USP 토큰 41,700,000개를 발행하여 다양한 스테이블 코인으로 교환했습니다. 

Platypus Finance는 도난당한 자산을 동결하기 위해 타사 서비스와 협력하고 있으며 일부는 이미 동결되었습니다. 향후 공격을 방지하기 위해 악의적인 계약이 제거되고 추가 보안 조치가 구현되었습니다. 그러나 공격자는 훔친 자금 중 일부를 송금하는 데 성공했습니다.

위험을 줄이는 방법?

어떤 면에서 플래시 론은 크립토의 훌륭한 이퀄라이저 중 하나입니다. 그들은 자본이 적은 거래자들이 일반적으로 소위 Whales에게만 개방되는 고수익 거래에 참여할 수 있도록 합니다. Immunefi 분류 팀의 기술 책임자인 Adrian Hetman은 BeInCrypto에 "그러나 우리가 여러 번 보았듯이 플래시 대출은 그러한 것을 설명하지 않는 DeFi 프로토콜에 큰 위험을 초래합니다."라고 BeInCrypto에 말했습니다.

“프로토콜은 가능한 플래시 대출 공격뿐만 아니라 Whale 공격으로부터 스스로를 보호해야 합니다. 시스템이 의도한 대로 작동합니까? 우리의 '의도한' 비즈니스 흐름은 무엇입니까?” 헷만은 계속했다. "위협 모델링은 시스템의 잠재적인 약점을 밝히는 데 도움이 될 것입니다."

“오라클은 TWAP(시간 가중 평균 가격)를 사용하여 특정 기간 동안 가격을 평균화하여 가격 조작을 최소화할 수 있으므로 공격자가 단일 거래에서 가격을 조작하기가 더 어려워집니다. 또한 다중 오라클 시스템을 구현하면 가격 데이터에 대한 중복 및 교차 확인을 제공하여 조작에 대한 방어를 더욱 강화할 수 있습니다.”라고 Hetman은 덧붙였습니다.

서킷 브레이커를 구현하면 상당한 가격 변동이 감지될 때 플래시 대출 공격자가 조작된 가격으로 이익을 얻는 것을 방지할 수 있다고 Hetman은 설명했습니다. “가격 변동의 원인이 확인되고 해결되면 거래를 재개할 수 있습니다. 여기에는 외부에서 의심스러운 것으로만 보일 수 있는 잠재적인 유효한 거래가 포함되어야 합니다.”

“주요 프로토콜 작업이 한 블록에서만 발생하지 않도록 하는 것도 중요합니다. 대부분의 경우 플래시 대출은 하나의 블록에 대한 하나의 거래에서만 가능합니다.”라고 Hetman은 덧붙였습니다.