오라클 공격은 "오라클"이라고 알려진 외부 데이터 소스에 대한 컴퓨터 시스템의 신뢰의 취약성을 악용하는 사이버 공격 유형을 말합니다. 오라클은 스마트 계약 및 탈중앙화 애플리케이션 (DApp)에 정보를 제공하는 제3자 데이터 제공업체입니다. 블록체인 네트워크에서 이러한 데이터 소스는 가격 정보, 날씨 정보 및 기타 외부 이벤트와 같은 실제 데이터를 제공하여 스마트 계약이 자율적으로 실행될 수 있도록 하는 중요한 역할을 합니다. ^[1][4]

오라클 공격의 특징

오라클 공격은 일반적으로 오라클이 제공하는 정보를 조작하여 스마트 계약 또는 DApp을 속이는 것을 포함합니다. 이러한 공격의 목표는 다양하지만 종종 금전적 이익을 얻거나 탈중앙화 시스템의 정상적인 기능을 방해하는 것을 포함합니다. 공격자는 스마트 계약 내에서 의도하지 않은 동작을 유발하여 원치 않는 결과를 초래하도록 데이터 피드를 변경하려고 시도할 수 있습니다.^[2]

오라클 공격의 유형

1. 가격 조작: 탈중앙화 금융 (DeFi) 애플리케이션의 맥락에서 공격자는 잘못된 가격 데이터를 제공하도록 가격 오라클을 조작할 수 있습니다. 이는 수익성 있는 거래를 실행하거나 대출 플랫폼 내에서 청산을 유발하는 데 악용될 수 있습니다.^[5]

2. 외부 데이터 조작: 공격자는 데이터 소스 자체 또는 해당 통신 채널을 손상시켜 잘못된 정보를 오라클 피드에 주입할 수 있습니다. 예를 들어, 공격자는 보험 스마트 계약에 사용되는 날씨 데이터를 위조하여 사기적으로 보상을 청구할 수 있습니다.^[4]

3. 타임스탬프 공격: 공격자는 오라클을 통해 조작된 타임스탬프를 제공하여 시간에 민감한 스마트 계약을 악용할 수 있습니다. 이는 시간 기반 기능의 정상적인 실행을 방해할 수 있습니다.

DeFi 보안에 대한 오라클 공격의 영향

프로토콜 파산

오라클 조작은 대출 프로토콜에 어려움을 야기하여 대규모 파산 상황으로 이어질 수 있습니다. 예를 들어, 오라클 악용은 담보의 가치가 사용자의 부채보다 낮은 프로토콜 내에서 불리한 부채 포지션 생성을 유발할 수 있습니다. 이러한 상황은 차용자가 부채를 해결할 동기가 부족할 수 있으므로 유동성 제공자가 손실을 감수해야 할 수 있습니다. ^[2]

잠재적인 경제적 실패

프로토콜 파산의 위험 외에도 오라클 공격은 다양한 상황에서 광범위한 경제적 실패를 유발할 수 있습니다. 예를 들어, 오라클이 가격 변동을 부정확하게 보고하면 알고리즘 스테이블코인과 리베이스 토큰이 의도된 가격 고정을 잃을 수 있습니다. ^[2]

사용자 경험에 대한 영향

파산을 피하기 위해 DeFi 머니 마켓은 담보 자산의 시장 가치를 면밀히 모니터링하고 과소 담보 수준에 도달하기 전에 부채 포지션의 청산을 실행합니다. 그러나 프로토콜이 부정확한 오라클 데이터를 기반으로 계산을 수행하는 경우 이러한 청산은 부당할 수 있습니다. ^[2]

완화 및 예방

오라클 공격을 완화하기 위한 노력에는 다음이 포함됩니다.

1. 다중 오라클: 여러 독립적인 오라클을 사용하고 해당 데이터를 집계하면 단일 악의적인 소스에 의한 조작 위험을 줄일 수 있습니다. ^[3]

2. 탈중앙화 오라클: 다양한 제공업체에서 데이터를 소싱하고 합의 메커니즘을 사용하는 탈중앙화 오라클 네트워크를 활용하면 공격자가 데이터 피드를 조작하기가 더 어려워질 수 있습니다. ^[2][3]

3. 경제적 인센티브: 담보 또는 스테이킹을 요구하는 등 오라클 제공업체의 정직한 행동을 장려하는 메커니즘을 설계하면 악의적인 활동을 억제할 수 있습니다. ^[4]

4. 오라클 업그레이드 및 거버넌스: 커뮤니티 거버넌스를 포함하여 오라클 설계를 정기적으로 업데이트하고 개선하면 새롭게 등장하는 취약성을 해결하는 데 도움이 될 수 있습니다. ^[4][5]

오라클 공격 사례

• 2019년 12월, Synthetix는 가격 오라클 조작으로 인한 또 다른 공격을 경험했습니다. 특히 이 사건은 온체인 및 오프체인 가격 데이터 간의 경계를 모호하게 했습니다. ^[5]
• Harvest Finance 해킹 당시 공격자는 일종의 오라클 공격을 포함하는 플래시론 공격을 실행하여 프로토콜의 풀을 무력화했습니다. 이 사건에서 해커는 거래를 통해 가격을 낮춤으로써 Curve 풀 내에서 USDC의 가치를 조작했습니다. 그런 다음 공격자는 조작된 낮은 가격으로 Harvest 풀에 진입하고 거래를 반전하여 USDC 가치를 원래 상태로 복원한 다음 높은 가격으로 풀에서 나왔습니다. ^[3][5][6]
• 별도의 사건에서 bZx (Ethereum 기반 대출 프로토콜)에서 공격자가 취약성을 악용하여 과소 담보 포지션을 생성했습니다. 이 악용으로 공격자는 약 37만 달러의 이익을 얻었지만 bZx 대출 풀 내에서 약 62만 달러의 상당한 자본 손실을 초래했습니다. ^[3]