폭락 이후, 우리는 어떤 오라클이 필요할까?

2025.10.13

폭락 이후, 우리는 어떤 오라클이 필요할까?

오라클에 균열이 생기면 모든 상위 구조가 붕괴된다.

2025.10.13 - 07:29:33

预言机

Web3 심층 보도에 집중하고 흐름을 통찰

오라클에 균열이 생기면 모든 상위 구조가 붕괴된다.

저자:YQ

번역: TechFlow

2025년 10월 10일부터 11일까지, 총 6000만 달러 규모의 시장 매도세가 193억 달러의 가치를 파괴했다. 이는 시장 붕괴나 실제 손실 포지션의 연쇄 청산으로 인한 것이 아니라 오라클 장애로 인해 발생한 것이다.

이 문제는 새로운 것이 아니다. 2020년 2월부터 동일한 공격 방식이 반복적으로 성공적으로 사용되어 왔으며, 수십 건의 업계 사례에서 수억 달러의 손실을 초래했다. 그러나 2025년 10월 사건은 기존 최대 오라클 공격 규모를 160배 확대한 것으로, 기술적 복잡성이 증가해서가 아니라 동일한 기본 취약점을 유지한 채 시스템이 확장되었기 때문이다.

5년간 우리는 비싼 수업료를 지불했지만 여전히 교훈을 얻지 못하고 있다. 본문은 그 이유를 분석할 것이다.

오라클 딜레마: 민감성과 안정성

레버리지를 사용하는 모든 플랫폼은 근본적인 도전에 직면한다. 담보 자산 가격을 정확하게 평가하면서 동시에 가격 조작을 방지하는 방법은 무엇인가?

너무 민감함 → 조작 공격에 쉽게 노출됨
너무 안정적임 → 실제 손실을 제때 반영하지 못함

2025년 10월 사건은 “민감성”을 선택했다. 오라클은 스팟 시장 가격을 충실히 추적하여 6000만 달러 상당의 자산이 매도될 때 담보 자산 가격을 실시간으로 하향 조정하였고, 이는 대규모 청산을 유발시켰다. 시스템은 설계대로 완전히 작동한 것이다.

그러나 이러한 설계는 재앙적이었다.

5년간 무시된 패턴

2025년 10월 사건을 분석하기 전에 이해해야 할 점은 이런 상황이 처음 있는 일이 아니라는 것이다.

과거 회고 (2020-2022)

2020년 2월: bZx (손실 35만 달러 + 63만 달러) 단일 데이터 소스 오라클 사용. 유니스왑에서 WBTC 가격을 플래시론으로 조작. bZx가 의존하는 가격 데이터를 조작하기 위해 전체 공급량의 14.6%를 이동시킴.

2020년 10월: Harvest Finance (2400만 달러 도난, 5.7억 달러 탈출) 7분 만에 5000만 달러 플래시론을 활용하여 Curve의 스테이블코인 가격을 조작. 인프라 붕괴와 대규모 유동성 철수를 유발하며 초기 도난 금액을 훨씬 초과하는 손실 발생.

2020년 11월: Compound (청산 금액 8900만 달러) Coinbase Pro에서 DAI가 단시간 내 1.30달러까지 급등(해당 거래소만). Compound 오라클이 Coinbase 가격을 기준으로 삼아 일시적인 가격 이상 현상으로 인해 사용자가 청산됨. 깊이 30만 달러의 호가창을 움직이기 위해 10만 달러면 충분함.

2022년 10월: Mango Markets (손실 1.17억 달러) 500만 달러 초기 자본으로 MNGO 토큰 가격을 다수 거래소에서 2394% 상승시킴. 이후 높은 담보로 1.17억 달러 차입 및 해킹된 거버넌스 토큰으로 자신에게 4700만 달러의 “버그 바운티” 지급. 미국 상품선물거래위원회(CFTC)가 오라클 조작에 대해 처음으로 법 집행 조치를 취한 사례.

공통점

모든 공격은 동일한 논리를 따름:

조작 가능한 데이터 소스를 제공하는 오라클 식별
계산: 조작 비용 < 추출 가능한 가치
공격 실행
이익 실현

2020년~2022년: 41건의 오라클 조작 공격으로 4.032억 달러 도난.

업계 반응: 제각각이며 느리고 불완전함. 대부분의 플랫폼은 여전히 중복성이 부족하고 스팟 중심의 오라클을 사용 중.

그 후 2025년 10월 사건이 발생했다.

오라클 실패 분석: 2025년판

2025년 10월 10일 새벽 5시 43분: 6000만 달러 상당의 USDe가 스팟 시장에 매도됨.

제대로 설계된 오라클에서는: 다수의 독립적 데이터 소스가 충격을 흡수하여 영향은 미미할 것이다.

이 오라클에서는: 재난이 발생했다.

6000만 달러 스팟 매도 → 오라클이 담보 자산 가격 하향 조정(wBETH, BNSOL, USDe) → 대규모 청산 유발 → 인프라 과부하 → 유동성 공백 → 193억 달러 자산 증발

증폭 효과

Mango Markets(2022년): 500만 달러 조작 → 1.17억 달러 추출 (23배)
2025년 10월: 6000만 달러 조작 → 193억 달러 소각 (322배)

기술적 복잡성이 증가해서가 아니라 동일한 취약점이 기관 수준 규모로 확대된 결과이다.

가중치 배분 문제

이번 오라클은 주요 거래소의 스팟 가격에 크게 의존했다. 특정 거래소가 거래량에서 지배적 위치를 차지할 경우:

높은 거래량은 겉보기에 가격 발견 신뢰성을 의미함(표면적 합리성)
집중화는 조작 위험 증가(치명적 약점)
단일 내부 가격은 자기 순환 구조 형성(문제 더욱 악화)

한 분석가의 언급은 이 논리의 결함을 드러낸다. “[해당 거래소]의 usde/bnsol/wbeth 거래량이 가장 크므로 오라클 가중치에 따라 스팟 가격을 참조해야 한다.”

이러한 직관—최대 시장을 신뢰한다는 것—은 지난 5년간 수십억 달러의 손실을 초래했다. 거래량 집중은 가격 정확성의 증거가 아니라 조작 기회의 신호이다.

예정된 취약성 창

오라클 방법 변경은 시행 8일 전에 공개되었다. 공격자는 따라서 다음 정보를 확보하였다:

오라클의 의존 관계
예측 가능한 전환 시점
8일간의 준비 시간

기존 오라클 공격은 기존 취약점을 이용했으나, 2025년 10월 공격은 오라클 방법 전환 기간의 취약점을 이용한 것으로, 개선 내용을 미리 공개함으로써 생긴 취약성이다.

시장 격리 테스트

이 사건이 자산 손실보다는 오라클 실패임을 보여주는 가장 명확한 증거:

주요 거래소: USDe 가격 0.6567달러, wBETH 가격 430달러
기타 거래 플랫폼: 가격 편차 30bp 미만
체인상 유동성 풀: 거의 영향 없음

Ethena의 Guy가 지적했듯이: “사건 발생 중에도 즉시 환매 가능한 90억 달러 이상의 스테이블코인 담보가 존재했다.”

오라클 데이터 출처 거래소에서만 가격이 격렬하게 변동하고 다른 시장은 안정적이었다. 그러나 오라클은 조작된 가격을 보고했으며, 시스템은 다른 시장에는 존재하지 않는 가격에 기반해 청산을 유발했다.

이는 2020년 Compound 사건과 동일한 패턴이다: 고립된 거래 장소의 가격 조작이 오라클에 의해 사실처럼 기록되어 시스템 파괴를 유발.

인프라의 연쇄 반응

분석가 agintender는 증폭 메커니즘을 지적했다:

“연쇄 청산으로 인해 수백만 요청으로 서버가 과부하된다. 마켓메이커가 적시에 호가를 낼 수 없어 유동성 공백이 발생한다.”

이것은 2020년 Harvest Finance 사건의 확대판이다. 공격은 인프라 처리 속도보다 빠르게 청산을 유발하여 마켓메이커가 대응하지 못하고 유동성이 사라지며 연쇄 반응이 자강화된다.

Harvest Finance가 2020년 10월 인프라 붕괴 후(TVL 10억 달러에서 5.99억 달러로 감소, 사용자 자금 탈출) 교훈은 이미 명확했다: 오라클 시스템은 스트레스 상황에서 인프라 용량을 반드시 고려해야 한다.

그러나 2025년 10월 사건은 우리가 여전히 교훈을 얻지 못했음을 증명한다.

민감성의 균형: 두 가지 방법, 하나의 재난

Ethena의 Guy는 핵심 설계 도전을 설명했다: 오라클은 단기 일시적 편차(시장 노이즈)와 장기 자산 손실(실제 손실)을 구분해야 한다.

2025년 10월은 두 가지 대응 방식을 보여주었다:

고민감성 방식(실패한 거래소)

스팟 가격 실시간 추적
시장 변화에 빠르게 반응
결과: 193억 달러 연쇄 효과

이것이 바로 bZx/Harvest의 방식: 스팟 시장을 신뢰했으나 조작으로 무너짐.

고안정성 방식(생존한 DeFi 플랫폼)

USDe = USDT 강제 입력
단기 시장 노이즈 무시
결과: 청산 없음

이는 지나친 조치이나 실패보다는 낫지만 여전히 최선이 아님.

업계는 5년간 세심한 해결책을 마련할 시간이 있었다. 우리는 최적 해법도, 수용 가능한 해법도 찾지 못했다—극단적인 두 가지 사이에 갇혀 있으며 기관 규모는 결국 재난적인 방식을 선택했다.

오라클 공격 정리: 이제 실험적으로 입증됨

정리: 레버리지 시스템에서 다음 조건이 모두 충족되면:

오라클 가격이 조작 가능한 스팟 시장에 주로 의존
청산 트리거 조건이 결정적임
인프라에 용량 제한 존재

그러면: 조작 비용 < 연쇄 반응을 통해 추출 가능한 가치

반복적 실천으로 검증된 증명:

bZx(2020년 2월): 유니스왑 조작 → 35만 달러 + 63만 달러 추출
Harvest(2020년 10월): Curve 조작 → 2400만 달러 도난 + 5.7억 달러 은행 탈출 유발
Compound(2020년 11월): Coinbase 조작 → 8900만 달러 청산
Mango(2022년 10월): 다중 플랫폼 조작 → 1.17억 달러 추출
2025년 10월: 주요 거래소 조작 → 193억 달러 손실

시스템 규모가 선형적으로 성장할수록 피해 규모는 지수적으로 증가한다. 조작 비용은 거의 일정하게 유지되며(유동성에 의해 결정), 추출 가능한 가치는 시스템의 총 레버리지 증가에 따라 커진다.

2025년 10월은 전례 없는 규모로 이 정리를 검증했다.

오라클 설계 원칙: 우리가 얻었어야 할 교훈

다중 소스 검증

특히 자체 호가창 가격에 의존하는 단일 거래소 가격에 의존하지 말라. 이는 2020년 2월 bZx 사건의 교훈이다. 적절한 오라클 설계는 다음과 같아야 한다:

오라클 가격 = 각 데이터 소스 가중 평균:

다수 거래소 가격 (40%)
체인상 유동성 풀 (30%)
랩핑 자산 전환 비율 (20%)
시간 가중 역사 가격 (10%)

가중치 배분보다 데이터 소스의 독립성이 중요하다. 모든 데이터 소스가 합리적인 자본으로 동시에 조작 가능하면 실제로는 다수 소스가 아니라 하나의 소스만 있는 것이다.

적응형 민감성

오라클은 시장 조건에 따라 민감도를 조정해야 한다:

정상 시장: 가격 변화에 더 민감
변동성 시장: 시간 가중을 통해 안정성 증가
극단적 변동: 서킷 브레이커 및 건전성 검사

시간 가중 평균 가격(TWAP) 오라클은 2020년 플래시론 공격 후 널리 채택되었으며, 단일 거래 조작을 방지하기 위한 것이다. 그러나 2025년 10월 오라클은 마치 지난 5년간 아무 일도 없었던 것처럼 스팟 가격에 실시간 반응했다.

인프라 탄력성

오라클 시스템은 연쇄 사건 중에도 기능을 유지해야 한다:

독립된 가격 데이터 인프라
수백만 건 동시 조회 지원 용량
고부하 하에서의 안정적 성능 저하 메커니즘

2020년 10월 Harvest Finance의 인프라 붕괴는 이미 스트레스 하에서 시스템 용량의 중요성을 드러냈다. 연쇄 청산은 지수적으로 증가하는 부하를 생성한다. 당신의 인프라는 첫 번째 청산뿐만 아니라 마켓메이커가 따라오지 못하고 사용자가 패닉 상태일 때의 1000번째 청산까지도 대비해야 한다.

투명성 있지만 취약점 없음

공개와 시행 사이의 8일 창은 알려진 공격 벡터를 창출한다. 더 나은 방법은 다음과 같다:

공개 후 즉시 변경 적용
고정 일자 없는 롤링 업데이트 사용
감사 기록 유지하되 사전 공개 기간 피하기

이것은 새로운 교훈이지만 게임 이론적으로는 논리적이다: 절대 활용될 수 있는 변경 사항을 미리 발표하지 마라. 2025년 10월 공격자는 계획, 배치, 준비를 위한 8일이라는 시간을 가졌다. 그들은 언제 취약성 창이 열릴지 정확히 알고 있었다.

시스템적 영향: 아직 얻지 못한 교훈

이것은 단순한 플랫폼 실패가 아니라 5년간의 비싼 교육 이후에도 여전히 해결되지 않은 업계 전반의 보편적 취약성을 드러낸다:

스팟 가격에 대한 과도한 의존

2020년 이후 모든 주요 공격이 이 취약점을 이용했음에도 불구하고 대부분의 플랫폼은 여전히 스팟 중심 오라클 설계를 사용하고 있다. 업계는 스팟 가격이 조작되기 쉬우며 TWAP과 다중 소스 오라클이 더 나은 보호를 제공한다는 것을 알고 있지만 실현은 불완전하다.

정상 상황에서 속도와 민감성은 장점이지만 조작 시에는 치명적 약점이 된다. 실시간 가격 업데이트는 조작되기 전까지만 더 정확해 보인다.

집중 리스크

주도 거래 장소는 단일 실패 지점이 된다. bZx가 유니스왑, Compound가 Coinbase, 2025년 10월 플랫폼이 자체 호가창에 의존할 때 모두 나타났다. 거래소는 달라도 취약성은 항상 동일하다.

한 거래소가 대부분의 거래량을 차지할 때 이를 주요 오라클 데이터 소스로 삼는 것은 논리적으로 보일 수 있다. 그러나 가격 데이터의 집중 리스크는 어떤 시스템의 집중 리스크와 마찬가지로 이용되기 전까지는 무해해 보이다가 한 번 이용되면 심각한 결과를 초래한다.

인프라 가정

정상 시장을 위해 설계된 시스템은 스트레스 하에서 완전히 붕괴한다. Harvest Finance가 2020년에 이를 증명했고 2025년 10월 다시 한번 증명했다. 우리는 여전히 정상 상황을 위해 시스템을 설계하고 스트레스가 발생하지 않기를 바라고 있다.

희망은 전략이 아니다.

투명성 역설

개선 사항 공개는 공격 창을 창출한다. 오라클 변경 사항의 공지에서 시행까지 8일 간격은 공격자에게 명확한 로드맵과 일정표를 제공한다. 그들은 언제 공격을 시작하고 어떻게 취약점을 이용할지 정확히 알고 있다.

이것은 새로운 실패 모드이지만 본질적으로 여전히 해결되지 않은 문제이다. 이전 오라클 공격은 기존 취약점을 이용했지만 2025년 10월 공격은 오라클 방법 전환 기간의 취약점을 이용한 것으로, 개선 내용을 미리 공개함으로써 존재하게 된 취약성이다.

앞으로의 방향: 이번엔 정말 교훈을 얻었는가?

즉시 개선

혼합 오라클 설계 다수의 가격 출처와 실제로 효과적인 건전성 검사를 결합:

중앙화 거래소 가격 (거래소 거래량 기반 가중)
탈중앙화 거래소 가격 (고유동성 풀에 한함)
체인상 준비금 증명
거래소 간 편차 제한

각 데이터 소스는 서로 독립적이어야 한다. 하나의 데이터 소스 조작이 다른 소스에 영향을 준다면 중복성은 존재하지 않는다.

동적 가중 조정 시장 상황에 따라 오라클 민감도 조정:

정상 변동: 표준 가중치
고변동성: TWAP 윈도우 증가, 스팟 영향 감소
극단적 변동: 청산 일시 중지, 조사 후 조치

Compound 공격은 때때로 단일 거래소의 “올바른” 가격이 전체 시장에 대해서는 잘못될 수 있음을 보여준다. 당신의 오라클은 이를 인식할 만큼 충분히 스마트해야 한다.

서킷 브레이커 극단적 가격 변동 동안 청산 일시 중지—합법적 델레버리징을 방지하기 위한 것이 아니라 조작과 시장 현실을 구분하기 위한 것:

여러 장소에서 몇 분 내에 가격이 일치하는 경우: 실제일 가능성
가격 변동이 한 장소에 국한되는 경우: 조작일 가능성
인프라 과부하 발생 시: 용량 회복 전까지 청산 일시 중지

목표는 모든 청산을 방지하는 것이 아니라 조작된 가격으로 유발된 연쇄 청산을 방지하는 것이다.

인프라 확장 정상 용량의 100배를 견딜 수 있도록 시스템 설계, 연쇄 반응이 이 수준의 부하를 생성하기 때문:

독립된 가격 데이터 인프라
독립된 청산 엔진
개별 주소에 대한 속도 제한
안정적 성능 저하 프로토콜

연쇄 반응 중에 시스템이 부하를 견디지 못한다면 연쇄 반응을 증폭시킨다. 이것은 최적화 옵션이 아니라 설계 요구사항이다.

장기적 해결책

탈중앙화 오라클 네트워크 Chainlink, Pyth, UMA 등 다양한 데이터 소스를 집계하고 조작 저항 메커니즘을 내장한 성숙한 오라클 솔루션 채택. 이들 솔루션은 완벽하지 않지만 스팟에 의존해 18개월마다 한 번씩 공격당하는 오라클보다는 낫다.

bZx는 2020년 공격 후 Chainlink를 통합했다. 이후 오라클 조작 공격을 더 이상 받지 않았다. 이는 우연이 아니다.

준비금 증명 통합: 랩핑 자산 및 스테이블코인의 경우 체인상에서 담보 가치를 검증. USDe는 호가창 동태가 아닌 검증 가능한 준비금을 기반으로 가격 책정되어야 한다. 기술은 이미 존재하지만 실현이 지연되고 있다.
단계적 청산 연쇄 반응 증폭을 방지하기 위해 단계별 청산:

1단계: 경고 및 추가 담보 제공 시간 부여
2단계: 부분 청산 (25%)
3단계: 대규모 청산 (50%)
최종 단계: 완전 청산

이를 통해 사용자가 반응할 시간을 제공하고 대규모 동시 청산이 시스템에 미치는 충격을 줄인다.