DeFi 보안 위험 분석: 플래시론, 가격 조작 공격 및 리스크 감소를 위한 프로토콜 설계 방안

2023.03.15

DeFi 보안 위험 분석: 플래시론, 가격 조작 공격 및 리스크 감소를 위한 프로토콜 설계 방안

시장 점유율이 증가함에 따라 DeFi 플랫폼은 점점 더 많은 보안 위협에 직면하고 있다.

2023.03.15 - 03:20:47

安全PlatypusMoremoney

Web3 심층 보도에 집중하고 흐름을 통찰

시장 점유율이 증가함에 따라 DeFi 플랫폼은 점점 더 많은 보안 위협에 직면하고 있다.

작성: Revelo Intel

번역: TechFlow

암호화폐 분야에서 탈중앙화 금융(DeFi)은 중요한 발전 방향이 되었다. 그러나 시장 점유율이 증가함에 따라 DeFi 플랫폼은 점점 더 많은 보안 위협에 직면하고 있다.

최근 Moremoney의 공동 창립자이자 제품 책임자인 Sirmoremoney는 Twitter Spaces에서 DeFi 보안에 관한 주제, 특히 담보 자산 가격 조작 및 플래시론 공격과 관련된 리스크에 대해 논의했다. Revelo Intel은 이번 Spaces 토론 내용을 요약하고 이러한 리스크를 완화하기 위한 대응 방안을 살펴보았다.

스마트 계약 취약점을 악용한 공격 / 플래시론 공격

플래시론 공격은 담보 없이 단시간 내 대출을 받을 수 있는 기능을 악용해 가격을 조작하거나 자금을 탈취하는 것을 말한다. 계약상 결함을 악용한 공격의 사례로 Platypus 공격을 들 수 있다.

공격자는 Aave에서 4400만 달러 상당의 플래시론을 빌린 후 이를 Platypus에 예치하고 4200만 달러를 추가 대출받았다. 이후 계약의 버그를 이용해 비상 인출 기능을 실행하여 초기 예치금을 회수한 뒤 대출금만 남겨두었다. 이 공격으로 인해 Platypus Finance는 총 2억 달러의 자금 손실을 입었다.

다만 공격자는 4200만 달러에 달하는 USB 자산 중 약 850만 달러만 교환할 수 있었으며, Platypus의 보안 컨설턴트와 내부 팀은 240만 달러를 회수했다. Feather와 Circle은 스마트 계약 내에 막혀 있던 자금을 동결시켰고, 공격자는 이후 프랑스에서 체포되었다.

이 공격은 낮은 수준의 해커에 의해 시작되었으며, 현재까지 도난당한 자금의 약 70%가 회수되었다.

이번 사건에서 얻을 수 있는 교훈은 프로토콜이 비상 인출 기능 호출 권한을 제한하고, 손실 가능성을 줄이기 위해 부채 한도를 설정하는 등 적절한 보안 조치를 마련해야 한다는 점이다.

비상 인출 기능

예를 들어, Moremoney는 프로토콜 자체 또는 거버넌스(governance)만이 호출할 수 있는 구조적 구제 기능(rescue function)을 갖추고 있다.

이들은 Platypus 사례처럼 누구나 이 기능을 호출할 수 있도록 허용하지 않는 것이 중요하다고 강조했다.

담보 자산 가격 조작 공격

가격 조작 공격은 탈중앙화 거래소(DEX)에서 토큰의 가격을 조작해 담보 가치보다 더 많은 자금을 대출받는 것을 의미한다.

Mango와 Loadstar에서 발생한 공격 사례를 들 수 있다. 이러한 공격은 사용자에게 큰 손실을 초래했으며, 담보 자산 가격을 모니터링하고 가격 조작을 방지하기 위한 조치를 시행하는 것이 얼마나 중요한지를 보여준다.

두 경우 모두 공격자가 DEX의 토큰 가격을 조작해 실제 담보 가치보다 더 많은 금액을 대출받았다. 프로토콜의 보안을 위해서는 가격 오라클 선택이 매우 중요하며, 스팟 가격 오라클(spot price oracle)을 사용하는 것은 항상 좋지 않은 선택이다. 갑작스러운 폭락이나 급격한 가격 변동으로 인해 막대한 손실이 발생할 수 있기 때문이다.