Oracle 조작 공격은 무엇입니까?

cryptocurrency에서 Oracle 조작 공격 이해

분산 금융 (DEFI) 및 블록 체인 기반 응용 분야에서 Oracles는 온쇄 스마트 계약과 오프 체인 데이터 소스 사이의 중요한 다리 역할을합니다. Oracle 조작 공격은 악의적 인 행위자가 이러한 오라클의 취약점을 악용하여 허위 또는 조작 된 데이터를 스마트 계약에 공급하여 재무 손실 또는 시스템 오작동과 같은 의도하지 않은 결과를 초래할 때 발생합니다.

핵심 문제는 스마트 계약이 가격 사료, 날씨 정보 또는 스포츠 결과와 같은 실제 데이터를 독립적으로 가져올 수 없다는 사실에 있습니다. 그들은이 데이터를 제공하기 위해 외부 오라클에 의존합니다. 공격자가 Oracle의 데이터 소스를 통제하거나 영향을 미치는 경우 결과를 유리하게 조작 할 수 있습니다.

블록 체인 시스템에서 오라클의 역할

Oracles는 스마트 계약에 외부 데이터를 제공하는 신뢰할 수있는 타사 서비스 역할을합니다. 이러한 데이터 포인트에는 다음이 포함될 수 있습니다.

• cryptocurrency 가격 사료
• 기상 조건
• 스포츠 이벤트 결과
• 비행 상태 업데이트

오라클이 없으면 스마트 계약은 온쇄 데이터와 만 상호 작용하는 것으로 제한됩니다. 그러나 오프 체인 데이터를 통합하면 새로운 위험 계층이 도입됩니다. 탈 중앙화 된 오라클은 여러 소스의 데이터를 집계함으로써이를 완화하려고 시도하는 반면, 중앙 집중식 오라클은 단일 실패 지점으로 인해 취약합니다.

오라클 조작 공격이 작동하는 방법

Oracle 조작 공격은 일반적으로 공격자가 약하게 보호되거나 중앙 집중화 된 Oracle 시스템을 식별하고 다양한 수단을 통해 이용하는 패턴을 따릅니다.

• 가격 조작 : Defi 프로토콜에서 공격자는 Oracles가 가져온 거래소에서 토큰 가격을 조작 할 수 있습니다. 플래시 대출 또는 유동성 수영장 조작을 통해 인공 가격 변동성을 창출함으로써, 대출 플랫폼을 청산 위치로 비난하거나 잘못된 평가에 따라 대출을 승인 할 수 있습니다.
• 타임 스탬프 변조 : 일부 Oracles는 의사 결정에 타임 스탬프 데이터를 사용합니다. 타임 스탬프를 수정하면 스마트 계약이 실행되는 방식을 변경할 수 있습니다.
• 잘못된 데이터 주입 : 공격자는 API 또는 노드 공급 데이터를 Oracle에 손상시키고 부정확 한 정보를 주입 할 수 있습니다.

잘 알려진 사례는 BZX 플래시 대출 공격으로 , 공격자는 플래시 대출을 사용하여 비대칭 자산 평가에서 이익을 얻기 위해 가격 오라클을 조작했습니다.

실제 예 : BZX 사건

2020 년 2 월, 결함 대출 플랫폼 인 BZX는 Oracle 조작 공격의 희생을당했습니다. 공격자는 DYDX의 플래시 대출을 사용하여 많은 양의 ETH를 빌린 다음 Kyberswap Exchange에서 SUSD 의 가격을 조작했습니다. 이 조작은 BZX가 사용하는 가격 Oracle 에 영향을 미쳤으며, 공격자는 담보보다 더 많은 대출을받을 수 있습니다.

공격의 주요 단계는 다음과 같습니다.

• 플래시 대출을 통해 많은 ETH를 빌려
• Kyberswap에서 SUSD의 ETH 교환을 위해 환율을 왜곡
• 조작 된 SUD 가격에 따라 BZX에 대한 대출 촉진
• 조작 된 대출로부터 이익을 유지하면서 플래시 대출 상환

이 사건은 단일 소스 오라클 및 무담보 가격 사료 에 의존하는 것과 관련된 위험을 강조했습니다.

예방 및 완화 전략

Oracle 조작 공격으로부터 보호하려면 개발자와 프로토콜 디자이너는 강력한 보안 조치를 구현해야합니다.

• 탈 중앙화 된 Oracle 네트워크 사용 : 여러 독립 노드의 체인 링크 집계 데이터와 같은 플랫폼으로 단일 고장 지점의 위험을 줄입니다.
• 시간 가중 평균 가격 (TWAP) 메커니즘 구현 : 트윗은 단기 가격 변동을 부드럽게하여 공격자가 단일 블록 내에서 가격을 조작하기가 더 어려워집니다.
• 지연 메커니즘 추가 : Oracle 데이터를 기반으로 동작을 실행하기 전에 작은 시간 지연을 도입하면 이상이 변칙을 감지 할 수 있습니다.
• 감사 오라클 통합 : Oracle 관련 코드 및 종속성에 대한 정기 감사는 잠재적 악용을 식별하는 데 중요합니다.
• 데이터 소스 모니터링 : 기본 데이터 피드를 지속적으로 모니터링하면 비정상적인 동작이나 불일치를 감지하는 데 도움이됩니다.

이러한 전략은 Oracle 조작의 표면적을 총체적으로 줄이고 공격자들이 그러한 시스템을 이용하려는 어려움을 증가시킵니다.

Oracle 조작이 Defi 프로토콜에 미치는 영향

Oracle 조작은 결함 생태계의 안정성과 신뢰성에 중대한 위협이됩니다. 많은 Defi 플랫폼이 대출, 차입 및 거래에 대한 정확한 가격 데이터에 크게 의존하기 때문에 모든 조작으로 이어질 수 있습니다.

• 사용자 자금의 대규모 손실
• Defi 프로토콜에 대한 신뢰 상실
• 규제 조사 증가
• 보험 및 예측 시장의 착취

또한, Oracle 조작은 상호 연결된 프로토콜에 걸쳐 계단식 고장을 만들 수 있습니다. 특히 오라클이 여러 플랫폼에 동시에 영향을 미치는 경우.

자주 묻는 질문 (FAQ)

탈 중앙화 된 오라클을 중앙 집중식 오라클보다 더 안전하게 만드는 이유는 무엇입니까? 분산 된 Oracles는 여러 독립 소스의 데이터를 집계하여 단일 진실 지점에 대한 의존도를 줄입니다. 이 다양성은 하나의 공급자 또는 API에 따라 중앙 집중식 오라클에 비해 데이터 조작의 위험을 최소화합니다.

Flash 대출은 Defi에서 합법적 인 목적으로 사용할 수 있습니까? 그렇습니다. 플래시 대출은 차익 거래 기회, 재 융자 부채 또는 사전 자본을 필요로하지 않고 복잡한 거래를 실행하기위한 Defi의 강력한 도구입니다. 그러나 그들의 허가없는 성격은 또한 제대로 보호되지 않으면 착취에 매력적입니다.

모든 Oracle 조작 공격은 가역적입니까? 대부분의 블록 체인 거래는 돌이킬 수 없습니다. 공격자가 Oracle을 조작하고 거래를 실행하면 자금 복구는 종종 프로토콜에 비상 대응 메커니즘이 있는지 또는 멀티시 거버넌스 제어가 있는지 여부에 따라 다릅니다.

Oracle 조작 공격은 Defi 프로토콜에만 영향을 미칩니 까? 아니요, NFT 기반 게임, 보험 플랫폼 또는 공급망 솔루션과 같은 외부 데이터를 사용하는 스마트 계약 의존 시스템은 Oracle 통합이 약하거나 제대로 설계되지 않은 경우 위험에 처할 수 있습니다.