플래시 대출 공격이란 무엇입니까?

Defi의 플래시 대출 이해

플래시 대출은 대출이 동일한 거래 블록 내에서 대출이 상환되는 한 담보없이 많은 양의 암호 화폐를 빌릴 수있는 분산 금융 (DEFI)의 고유 한 기능입니다. 이 메커니즘은 스마트 계약 에 의해 가능 해져서 차용자가 대출을 상환하거나 특정 조건을 충족시키지 못하면 전체 거래가 마치 발생하지 않은 것처럼 되돌아갑니다.

이 대출은 중재 기회, 부채 리파이낸싱 및 기타 고급 거래 전략에 특히 유용합니다. 그러나 그들의 허가없는 특성과 단일 블록에서 복잡한 트랜잭션을 실행하는 능력은 또한 Defi 프로토콜에서 취약점을 악용하려는 악의적 인 행위자들의 문을 열었습니다.

플래시 대출은 자금이 동일한 거래에서 반환되는 경우 담보없이 차입을 가능하게합니다.

플래시 대출 공격은 무엇입니까?

공격자가 플래시 대출을 사용하여 시장 가격을 조작하거나 프로토콜에서 유동성을 배출하거나 스마트 계약 버그를 이용할 때 플래시 대출 공격이 발생합니다. 이러한 공격은 일반적으로 하나의 원자 트랜잭션에서 실행 된 여러 단계를 포함하여 사실 후에 감지하고 완화하기가 어렵습니다.

이러한 공격의 핵심 아이디어는 플래시 대출을 통해 많은 양의 토큰을 빌려서 토큰을 사용하여 시스템 (예 : 가격 오라클)에 영향을 미치고 대출을 상환하기 전에 다른 조치 (예 : 배수 자금)을 수행하는 것입니다.

플래시 대출 공격에서 공격자는 빌린 자금을 활용하여 단일 거래에서 시스템 약점을 악용합니다.

플래시 대출 공격에 사용되는 일반적인 기술

• 가격 조작 : 플래시 대출 펀드를 사용하여 거래와 분산 된 거래소를 침수함으로써 공격자는 AMMS (Automated Market Makers)에서 토큰 가격을 일시적으로 왜곡시킬 수 있습니다. 그런 다음 다른 플랫폼 에서이 불일치를 활용합니다.

• Reentrancy Exploits : 일부 공격은 플래시 대출과 재진입 기술을 결합하여 악성 계약은 거래가 끝나기 전에 펀드를 배출하기 위해 취약한 기능을 반복적으로 요구합니다.

• Oracle 조작 : Defi 프로토콜이 외부 가격 사료에 의존하는 경우, 공격자는 플래시 대출을 사용하여 이러한 Oracles를 조작하여 시스템을 잘못 대출이나 청산을 승인하도록 속일 수 있습니다.

• 스마트 계약 버그 : 플래시 대출을 통해 일시적으로 많은 금액을 주입 할 때 잘못된 논리 처리, 확인되지 않은 반환 값 또는 부적절한 검증과 같은 취약점을 악용 할 수 있습니다.

공격자는 종종 플래시 대출 공격 중에 가격을 조작하거나, 재창조 결함을 악용하거나, Oracle 데이터를 남용합니다.

플래시 대출 공격의 단계별 실행

• 자금 차단 : 공격자는 AAVE 또는 DYDX와 같은 플랫폼에서 플래시 대출을 시작하여 상당한 양의 특정 토큰을 요청합니다.

• 차익 거래 또는 조작 실행 : 차용 된 토큰을 사용하여 공격자는 탈 중앙 교환 교환과 같은 조치를 수행하여 토큰의 가격을 크게 변경합니다.

• 프로토콜 논리 악용 : 조작 된 가격은 다른 Defi 프로토콜에서 결함이있는 논리 (담보를 과대 평가하여 공격자가 자격을 갖추어야 할 것보다 더 많은 자금을 인출하도록하는) 잘못된 논리를 유발할 수 있습니다.

• 재구매 토큰 : 가치를 추출 한 후, 공격자는 플래시 대출을 상환하기 위해 원래 토큰을 저렴한 가격으로 (해당되는 경우) 상환합니다.

• 대출 상환 : 차입 된 총 금액이 동일한 거래 내에서 총 금액 + 수수료가 반환되는 한 블록 체인은 작업을 유효한 것으로 받아들입니다.

플래시 대출의 채무 불이행을 피하려면 각 단계는 동일한 거래 내에서 완료해야합니다.

플래시 대출 공격의 실제 사례

몇몇 유명한 사건은 플래시 대출 공격의 위험을 강조했습니다.

• BZX 사건 (2020) : 두 가지 별도의 공격으로 해커는 플래시 대출을 사용하여 Kyberswap의 ETH 가격을 조작 한 다음 BZX 대출 프로토콜을 이용하여 백만 달러 이상의 자산을 배출했습니다.

• Cheese Bank Heist (2021) : 공격자는 플래시 대출을 사용하여 치즈 뱅크 금고의 내부 가격을 조작하여 과도한 보상을 마련하고 프로토콜의 자금을 배출 할 수있었습니다.

• Value Finance Exploit (2021) : 해커는 다중 체인 플래시 대출 공격을 실행하여 크로스 체인 가격 사료를 조작하여 가치 금융 프로토콜에서 6 백만 달러 이상을 훔칩니다.

역사적 익스플로잇은 Flash 대출이 제대로 안전하지 않은 Defi 시스템에 대해 무기화 될 수있는 방법을 보여줍니다.

플래시 대출 공격으로부터 보호

프로토콜은 타겟팅의 위험을 줄이기 위해 몇 가지 방어 조치를 구현할 수 있습니다.

• 시간 가중 평균 가격 (TWAP) 오라클 : 즉각적인 가격 데이터 대신 트윗을 사용하면 단기 조작이 더 어려워집니다.

• 트랜잭션 재정 저항 : 중요한 운영이 대규모 거래에 의해 프론트 런 또는 샌드위치가 될 수 없도록합니다.

• 속도 제한 및 미끄러짐 제어 : 더 엄격한 미끄러짐 임계 값을 구현하고 허용 가능한 거래의 크기를 제한하면 조작을 방지합니다.

• 멀티 블록 유효성 검증 : 주요 작업간에 지연을 도입하면 모든 작업이 단일 트랜잭션에서 완료 될 수 없습니다.

• 감사 및 버그 바운티 : 정기적 인 보안 감사 및 인센티브 된 버그 바운티 프로그램은 취약성을 이용하기 전에 식별하고 패치하는 데 도움이됩니다.

강력한 Oracle 설계 및 거래 검증 메커니즘은 플래시 대출 위험을 완화하는 데 필수적입니다.

자주 묻는 질문

Q : 플래시 대출을 합법적으로 사용할 수 있습니까? 예, 플래시 대출은 차익 거래, 포트폴리오 재조정 또는 기타 비 악의적 인 목적에 사용될 때 DEFI의 합법적 인 재무 도구입니다. 그들의 오용은 취약성을 목표로 악용 전술과 결합 될 때만 발생합니다.

Q : 모든 Defi 프로토콜이 플래시 대출 공격에 취약합니까? 전부는 아니지만 실시간 가격 책정 데이터 또는 대단한 논리에 의존하는 많은 Defi 프로토콜이 잠재적으로 위험에 처해 있습니다. 강력한 보안 관행과 지연에 민감한 검증을 구현하는 프로토콜은 덜 취약합니다.

Q : 개발자는 과거의 플래시 대출 공격을 어떻게 감지합니까? 온쇄 거래, 이벤트 로그 검토 및 토큰 전송 또는 가격 편차의 비정상적인 스파이크 추적에 대한 법의학 분석은 플래시 대출이 악용에 관여했는지 여부를 식별하는 데 도움이 될 수 있습니다.

Q : 플래시 대출 공격이 발생하면 역전시킬 수 있습니까? 거래가 확인되고 원자 적으로 실행되기 때문에 공격자가 도난당한 자금을 자발적으로 반환하거나 거버넌스 제안서가 하드 포크를 통해 롤백을 시작하지 않는 한, 포스트 인치를 취소하는 것은 거의 불가능합니다.