플래시론이란 무엇인가: 암호화폐 대출 및 플래시론 공격
2022년 4월 17일, 익명의 공격자가 Aave, Uniswap, SushiSwap에서 단 한 번의 원자적 거래로 10억 달러 이상을 빌려 Beanstalk 스테이블코인 프로토콜에서 악의적인 제안을 통과시킬 만큼의 Stalk 거버넌스 토큰을 매입하고, 자금줄을 텅 비운 후 블록이 마감되기 전에 모든 차용 금액을 상환했습니다. 순 손실액은 1억 8,200만 달러였습니다. 소요 시간은 이더리움 블록 하나, 즉 약 13초였습니다. 공격자는 실제로 단 한 푼도 소유하지 않았습니다. 이것이 바로 플래시론의 본질이며, 탈중앙화 금융(DeFi)에서 플래시론이 이상한 평판을 얻게 된 이유이기도 합니다.
그렇다면 플래시론이란 정확히 무엇일까요? 플래시론은 블록체인의 원자성 덕분에 가능한 무담보 대출입니다. 원하는 만큼 토큰을 빌려서 사용하고, 모든 상환을 단일 거래로 처리할 수 있습니다. 원금과 수수료를 상환하지 못할 경우, 전체 거래는 아무 일도 없었던 것처럼 취소됩니다. 신용 조회, 선불 담보, KYC(고객 신원 확인) 절차가 필요 없습니다. 플래시론은 이러한 요건들이 없기 때문에 기존 금융 시스템에서 찾아볼 수 없는 독특한 형태의 대출입니다. 이 가이드에서는 DeFi 생태계에서 플래시론이 무엇인지, EVM 코드에서 실제로 어떻게 작동하는지, 실제 사용 사례, 2020년부터 2025년까지 발생한 주요 취약점, Aave, Balancer, Uniswap과 같은 제공업체의 비교, 그리고 2026년에 프로토콜들이 어떻게 스스로를 방어할지에 대해 자세히 살펴보겠습니다.
플래시론이란 무엇이며 어떻게 작동하는가?
플래시론은 탈중앙화 금융(DeFi)에서 흔히 볼 수 있는 무담보 대출의 한 유형으로, DeFi 시장에서 플래시 스타일의 기본 요소를 가장 명확하게 보여주는 예입니다. 대출 프로토콜의 함수를 호출하면 프로토콜은 요청된 금액만큼의 토큰을 개발자의 컨트랙트로 전송합니다. 컨트랙트는 해당 자금을 사용하여 임의의 로직을 실행하고, 거래가 완료되기 전에 프로토콜은 원금과 소액의 수수료를 다시 회수합니다. 만약 대출 풀이 회수할 금액을 받지 못하면 전체 거래가 취소되고 상태 변화는 남지 않습니다. 프로토콜의 관점에서 보면 대출은 애초에 발생하지 않은 것입니다. 플래시론은 개발자가 선불 담보 없이 자산을 빌릴 수 있게 해주는 동시에, 과거에는 실제 자금이 필요했던 취약점을 공격자가 쉽게 악용할 수 있게 해준다는 점에서 논란의 여지가 있습니다.
'플래시론'이라는 용어는 2018년 마블 프로토콜(Marble Protocol)이 개발자들이 이더리움 상에서 무담보 대출을 즉시 실행할 수 있도록 하는 '스마트 계약 은행'을 설계하면서 처음 등장했습니다. 하지만 플래시론이 주류로 자리 잡게 된 것은 2020년 1월, Aave가 이더리움 메인넷의 Aave V1에 이 기능을 포함시키면서부터입니다. 마크 젤러(Marc Zeller)가 작성한 Aave 블로그 게시글에서는 플래시론을 통해 일반 DeFi 사용자들이 전통 금융에서 헤지펀드들이 누려왔던 것과 같은 즉각적인 유동성 접근성을 확보할 수 있다고 설명했습니다. 1년 만에 Aave는 약 20억 달러 규모의 플래시론을 처리했습니다. 트레이딩뷰(TradingView) 데이터에 따르면, 2025년까지 Aave의 플래시론 거래량은 3개월 단위로 약 75억 달러까지 증가할 것으로 예상됩니다.
플래시론이 단일 거래에서 어떻게 작동하는지
모든 블록체인 트랜잭션은 원자적입니다. 트랜잭션 내의 모든 코드 줄이 성공적으로 실행되거나, 아니면 전혀 실행되지 않습니다. 플래시론은 이러한 원자적 특성을 활용합니다. 호출자는 공급자의 수신자 인터페이스를 구현하는 컨트랙트를 배포한 다음 대출 풀에서 `flashLoan()`과 같은 함수를 호출합니다. 순서는 다음과 같습니다.
1. 귀하의 컨트랙트는 Aave 풀에서 `flashLoan()`을 호출하여 특정 금액의 토큰을 요청합니다.
2. 풀은 해당 토큰을 사용자의 컨트랙트로 전송하고 `executeOperation` 콜백을 호출합니다.
3. 계약은 DEX 스왑, 청산, 거버넌스 투표 등 필요한 임의의 로직을 실행합니다.
4. 콜백이 이루어지기 전에 계약서에 따라 해당 풀에서 원금과 보험료를 인출하는 것이 승인됩니다.
5. 풀에서 자금을 인출합니다. 잔액이 1웨이트라도 부족하면 전체 거래가 취소됩니다.
플래시론은 원자적 트랜잭션을 지원하지 않는 블록체인에서는 불가능하며, 이것이 바로 플래시론이 EVM 고유의 기본 기능으로 남아 있는 이유입니다. 전체 트랜잭션은 원자성에 따라 성립하고 소멸합니다. 개발자가 플래시론을 시작하고 자금을 빌린 후 상환하지 못하는 시나리오는 존재하지 않습니다. 블록체인은 해당 상태를 지속시키지 않기 때문입니다. 전체 트랜잭션은 되돌려지고, 모든 당사자는 아무 일도 없었던 것처럼 처리됩니다. 이것이 바로 플래시론이 선불 담보, 신용 평가 또는 차용인에 대한 신뢰를 필요로 하지 않는 이유입니다. 차용인이 트랜잭션 종료 시점까지 대출금을 상환하지 못하면 대출금은 상환되지 않고 상태는 롤백됩니다. 이러한 메커니즘을 지원하는 담보부 대출 풀에서는 플래시론 채무 불이행이 수학적으로 불가능합니다.
2020년 ERC-3156 표준은 두 가지 계약, 즉 풀에서 구현해야 하는 `IERC3156FlashLender`와 사용자가 구현해야 하는 `IERC3156FlashBorrower`를 통해 이더리움 네트워크 전반에 걸쳐 플래시론 인터페이스를 공식화했습니다. 이 표준은 일관성이 없는 푸시/풀 상환 모델을 가진 파편화된 플래시론 구현들을 통합했습니다.
DeFi에서 매일 사용되는 플래시론은 어떤 모습일까요?
대부분의 플래시론 거래량은 지루하게 느껴질 수 있습니다. DeFi 시장에서 사용되는 플래시론의 압도적인 다수는 단기간에 대량의 토큰에 접근하여 이점을 얻는 합법적인 전략에 사용됩니다. 플래시론을 통해 일반 사용자도 전통적인 금융 시장에서 헤지펀드가 하는 것처럼 자신의 역량보다 훨씬 큰 규모의 자금을 활용할 수 있으며, 은행과의 관계 없이도 투자할 수 있습니다. Aave와 같은 프로토콜은 플래시론을 기본적으로 지원하며, Aave와 같은 DeFi 프로토콜은 이 메커니즘을 온체인 전략의 핵심 구성 요소로 발전시켰습니다.
- 차익거래: 가장 큰 활용 사례입니다. 봇은 동일한 통화쌍에 대해 두 탈중앙화 거래소(DEX) 간의 가격 차이를 발견하고, 필요한 자금을 순간 대출하여 차익을 메운 후, 거래소 간 거래를 실행하여 스프레드를 통해 수익을 얻습니다. 차익거래 수익은 거래소 간 가격 균형을 맞추는 데 도움이 됩니다.
- 담보 교환: Aave에서 ETH를 담보로 대출을 받았는데, 포지션을 청산하지 않고 담보를 wBTC로 교환하고 싶습니다. 플래시론을 이용하면 한 번의 거래로 담보를 교환할 수 있습니다.
- 자체 청산: 봇에 의해 포지션이 청산되고 5~15%의 수수료가 부과될 경우, 청산 금액을 단기 대출로 조달하여 직접 포지션을 청산하고 수수료를 자신이 보유할 수 있습니다.
- 부채 재융자: 기존 대출을 더 나은 금리의 다른 대출 기관으로 한 번의 거래로 옮기는 것.
- 자산 청산: 전문 청산 봇은 플래시론을 이용하여 담보가 부족한 포지션을 청산하는 데 필요한 자본을 선지급하고 추가 수익을 챙깁니다.
신용 위임은 예금자가 다른 주소로 대출 권한을 위임할 수 있도록 하는 Aave의 부가 기능입니다. 이는 플래시론과는 구별되지만 복잡한 DeFi 전략에서 종종 함께 사용됩니다. 이 모든 전략의 핵심은 동일합니다. 플래시론은 솔리디티 코드를 작성할 수 있는 사람이라면 누구나 자본에 접근할 수 있도록 민주화하는 역할을 합니다.
차익거래, 담보 스왑 및 기타 활용 사례
차익거래는 계산이 깔끔하게 맞아떨어지기 때문에 대표적인 예입니다. 예를 들어, 이더리움(ETH)이 유니스왑에서 3,000달러, 스시스왑에서 3,010달러에 거래된다고 가정해 보겠습니다. 한 사용자가 Aave에서 300만 달러 상당의 USDC로 플래시론을 받아 유니스왑에서 300만 달러에 1,000 ETH를 매수하고, 스시스왑에서 301만 달러에 1,000 ETH를 매도합니다. 그리고 Aave에 300만 달러와 0.05%의 프리미엄(1,500달러)을 상환하면 단 한 번의 거래로 약 8,500달러의 수익을 얻게 됩니다. 가스 수수료가 수익의 일부를 차지하지만, 가격 차이가 충분히 크다면 여전히 차익거래가 가능합니다. 플래시론이 서로 다른 시장 간의 가격 차이를 해소하는 기본 도구로 자리 잡은 이유가 바로 이 플래시론의 역할입니다.
담보 스왑은 다른 방식으로 동일한 이점을 제공합니다. 예를 들어, Aave에서 차용자의 담보(ETH)를 사용하여 10만 달러 대출을 받았는데, ETH 가격 하락이 걱정된다고 가정해 보겠습니다. 일반적으로는 대출금을 상환하고, 보유한 ETH를 해제하고, wBTC로 매도하고, 다시 예치하고, 포지션을 재개해야 하며, 각 단계마다 슬리피지가 발생합니다. 하지만 플래시론을 이용하면 이 모든 과정을 단 한 번의 원자적 거래로 처리할 수 있습니다. 즉, 새로운 자금으로 10만 달러를 차입하고, 기존 대출을 종료하고, ETH를 수령하고, 이를 wBTC로 스왑한 후, wBTC를 새로운 담보로 예치하고, 대출을 재개하여 플래시론으로 상환하는 것입니다. 이 과정에서 포지션 관리가 중단되는 일은 없습니다. 이것이 바로 단 한 번의 원자적 거래로 담보 스왑을 구현하는 강력한 방법입니다.
DeFi의 다양한 시장에서 발생하는 독특한 차익거래 기회의 수는 대규모 악용 사례 이후에도 플래시론이 계속 성장한 이유 중 하나입니다. 새로운 AMM, 새로운 대출 프로토콜, 그리고 새로운 블록체인이 등장할 때마다 플래시론을 보유한 투자자가 메꿀 수 있는 가격 격차가 새롭게 발생합니다.
플래시 대출 제공업체: Aave, Balancer, Uniswap
2026년에는 4개 업체가 플래시론 시장을 주도할 것으로 예상됩니다. 각 업체는 수수료 및 통합 복잡성 측면에서 약간씩 다른 접근 방식을 취하고 있습니다.
| 공급자 | 요금 | 주목할 만한 특징 | 지지 체인 |
|---|---|---|---|
| 아베 V3 | 원금의 0.05%(지배구조 조정 가능, V2에서는 0.09%였음) | 최대 규모의 플래시론 플랫폼, 30개 이상의 자산 지원, 2025년 기준 75억 달러 규모 예상 | Ethereum, Polygon, Avalanche, Arbitrum, Optimism, Base 등 |
| 밸런서 볼트 | 0% (의도적으로 0%) | 단일 금고 아키텍처, 간단한 대출을 위한 가장 저렴한 방법 | 이더리움, 폴리곤, Arbitrum, 낙천주의, 영지주의 |
| 유니스왑 V3 플래시 스왑 | 풀 교환 수수료 등급: 0.01%, 0.05%, 0.30%, 또는 1.00% | 유동성은 가장 높지만 통합은 더 복잡합니다. | 이더리움, 폴리곤, 아비트럼, 옵티미즘, 베이스, 기타 |
| dYdX (역사적) | ~0 (원금 + 2 무게) | 제한된 자산 세트(ETH, DAI, USDC)가 v4에서 코스모스 앱체인으로 이전되었습니다. | 이더리움(v1-v3) |
| 평형 장치 | 변동성, 풀 의존적 | 목적에 맞게 설계된 플래시론 마켓플레이스 | 이더리움 |
Aave는 대부분의 개발자에게 기본 선택지입니다. 유동성이 가장 풍부하고, 자산 종류가 가장 다양하며, 수신자 인터페이스에 대한 문서화가 잘 되어 있습니다. Balancer는 단일 자산만 필요하고 볼트(vault) 방식에 개의치 않는다면 가장 저렴한 플랫폼입니다. Uniswap 플래시 스왑은 엄밀히 말하면 플래시론은 아니지만(지불 유예가 있는 아토믹 토큰 스왑), 차익 거래라는 동일한 목적을 달성하며 특정 거래쌍에 대해 더 나은 유동성을 제공하는 경우가 많습니다. dYdX의 플래시론 시대는 프로토콜이 자체 코스모스 기반 앱체인으로 이전한 2023-2024년에 사실상 종료되었으므로, 현재 dYdX의 플래시론은 활발한 거래 수단이라기보다는 역사적인 기록으로 남아 있습니다.
금융 분야에서 플래시론과 전통 대출의 차이점
플래시론과 기존 대출을 비교하는 것은 사실상 부당합니다. 두 대출은 완전히 다른 범주에 속하기 때문입니다. 기존 대출은 선불 담보, 신용 조회, 그리고 일반적으로 일종의 KYC(고객 신원 확인) 절차를 요구하며, 몇 달 또는 몇 년에 걸쳐 매달 상환해야 합니다. 반면 플래시론은 이러한 요건이 전혀 없습니다. 유일한 "담보"는 전자투표기(EVM)에 의해 보장되는 거래의 원자성 그 자체입니다. 유일한 "기간"은 바로 여러분이 참여하고 있는 단 하나의 거래입니다.
대부분의 신규 사용자들이 간과하는 중요한 장단점이 있습니다. 전통적인 대출은 주택 구입, 학비 납부, 사업 자금 조달처럼 단일 블록을 넘어서 지속되어야 하는 모든 상황에 유용합니다. 반면 플래시론은 원금이 거래 종료 전에 자금 풀로 반환되어야 하고, 동일한 블록 내에서 상환되지 않으면 존재하지 않는 것으로 간주되기 때문에 이러한 용도에는 적합하지 않습니다. 플래시론의 진정한 장점은 차익거래, 청산, 담보 교환과 같은 프로그램적인 금융 작업을 단일 블록 내에서 실행하는 데 있습니다. 플래시론은 단일 거래 내에서만 존재할 수 있으므로, 실제 소비를 위한 자금 조달 수단이 아니라 특정 DeFi 메커니즘을 위한 도구입니다. 플래시론은 주택 담보 대출을 대체하는 것이 아니라 DeFi 스마트 계약에 내재된 새로운 유형의 대출 메커니즘으로 이해해야 합니다.
원자적 특성 때문에 현재 EVM 생태계 밖에서는 플래시론이 불가능합니다. 솔라나, 무브 기반 체인 및 비원자적 실행 환경에서는 동일한 보장이 적용되지 않습니다. 플래시론은 자금 회수가 보장되는 담보 대출 풀에서만 안전하게 수백만 달러를 지급할 수 있습니다.
플래시론 공격: 2020-2025년 최대 규모 공격 사례
플래시론은 논란의 여지가 많은 기술이며, 이는 거의 전적으로 DeFi 공격에 이용되는 역할 때문입니다. 할본(Halborn)의 '2025년 DeFi 해킹 100선' 보고서에 따르면 2024년 발생한 DeFi 공격 중 83.3%가 플래시론을 이용한 것으로 추정됩니다. 이 수치는 언뜻 무서워 보일 수 있지만, 중요한 사실을 알게 되면 생각이 달라질 수 있습니다. 플래시론 자체가 취약점은 아닙니다. 오히려 공격의 위력을 증폭시키는 도구입니다. 주요 플래시론 공격은 모두 기존의 버그(조작 가능한 오라클, 반올림 오류, 타임락이 없는 거버넌스 계약 등)를 악용하는데, 공격자는 수억 달러의 자금을 보유하지 않고도 플래시론을 통해 이러한 버그에 접근할 수 있습니다.
| 날짜 | 규약 | 손실 | 근본 원인 |
|---|---|---|---|
| 2020년 2월 | 비지엑스 | 약 95만 4천 달러 | 첫 번째 주목할 만한 사건은 오라클을 사칭하여 유니스왑 v1을 조작한 것입니다. |
| 2020년 10월 26일 | 하비스트 파이낸스 | 3,380만 달러 | 유니스왑의 5천만 달러 USDC 플래시론은 커브 y-풀 가격을 조작했습니다. |
| 2021년 10월 27일 | 크림 파이낸스 | 1억 3천만 달러 | 단일 거래에서 68개 자산에 걸쳐 yUSD 가격 조작 발생 |
| 2022년 4월 17일 | 콩나무 | 1억 8200만 달러 | 악의적인 거버넌스 제안 통과를 위해 10억 달러 이상을 급하게 대출해줬으며, 기한도 정해져 있지 않다. |
| 2022년 10월 11일 | 망고 시장 | 1억 1600만 달러(SEC) | 아브라함 아이젠버그는 허위 담보를 이용해 대출받기 위해 MNGO 오라클을 부풀렸습니다. |
| 2023년 2월 16일 | 플래티퍼스 파이낸스 | 850만 달러 | Aave의 4,400만 달러 USDC 긴급 대출에 오류가 발생하여 지급 능력 확인 절차를 취소했습니다. |
| 2023년 3월 13일 | 오일러 파이낸스 | 1억 9700만 달러 | donateToReserves 버그 발생; 공격자가 몇 주 후에 모든 자금을 반환했습니다. |
| 2024년 1월 2일 | 래디언트 캐피털 | 450만 달러 | 새로운 Arbitrum USDC 마켓에서 Compound/Aave 포크의 반올림 문제 발생 |
| 2025년 4월 14일 | 킬로엑스 | 750만 달러 | 크로스체인 가격 오라클 조작; 4일 만에 모든 자금 반환 |
이것들은 가장 큰 사례들일 뿐입니다. 패턴은 매번 동일합니다. 어딘가의 스마트 계약이 단일 블록 내에서 조작될 수 있는 방식으로 가격이나 잔액을 읽어들이고, 플래시론은 공격자에게 해당 값을 공정 가치에서 크게 벗어나게 조작할 수 있는 충분한 자금을 제공합니다. 이러한 DeFi 프로토콜에 대한 공격은 단순한 오라클 조작부터 완전한 거버넌스 장악에 이르기까지 다양한 유형의 공격에 자금을 지원합니다. 체이나리시스에 따르면 2024년 모든 공격 경로를 통한 총 암호화폐 도난액은 14억 9천만 달러였으며, 2025년에는 34억 달러로 증가했지만, 그중 상당 부분은 2025년 2월에 발생한 바이빗 거래소 해킹 사건(15억 달러) 때문입니다. 오라클 강화 및 불변 테스트가 표준화됨에 따라 DeFi 관련 손실은 상대적으로 안정적인 수준을 유지했습니다.
가격 예측 도구가 어떻게 플래시론 공격으로 변질되는가
대부분의 주요 플래시론 공격은 본질적으로 오라클 조작과 관련이 있습니다. 공격 방식은 대부분 동일합니다. 프로토콜은 결정을 내리기 위해 자산 가격, 특히 차용자의 담보 가치를 알아야 합니다. 프로토콜은 온체인 어딘가에서 해당 가격을 읽어옵니다. 만약 그 가격이 대규모 거래로 변동될 수 있는 단일 DEX 풀이라면, 플래시론은 바로 그 풀을 이동시키는 데 필요한 도구가 되는 것입니다.
다음은 공격의 전형적인 예시를 단계별로 설명한 것입니다. 공격자는 Aave에서 1억 달러 상당의 USDC를 플래시론으로 대출받습니다. 그리고 이 USDC를 모두 목표 DEX 풀에 투입하여 토큰 X를 획득함으로써 해당 풀에서 X 토큰의 가격을 300% 급등시킵니다. 그런 다음, 피해자 프로토콜이 담보로 빌려줄 수 있는 만큼의 자금을 빌립니다. 이후 반대 거래를 통해 풀의 가격을 원래 수준으로 되돌리고, Aave에서 빌린 플래시론을 상환합니다. 그리고 남은 차입금은 그대로 보유합니다. 이 모든 과정은 단 한 번의 거래로 이루어집니다. 피해자 프로토콜은 공격자가 이득을 취하는 동안에만 급등된 가격을 확인하며, 피해자 컨트랙트는 차이를 알아챌 방법이 없습니다.
2020년 2월 bZx에서 발생한 일이 바로 이것이며, 이후 거의 모든 오라클 관련 플래시론 공격에서 반복된 현상입니다. 해결책은 원칙적으로 간단합니다. 단일 블록 내에서 이동 가능한 가격 오라클에 의존하지 않는 것입니다. 하지만 실제로 업계는 이 해결책을 대규모로 적용하기까지 수년이 걸렸고, 그 과정에서 수억 달러의 손실을 감수해야 했습니다.
프로토콜 수준에서 플래시론 공격 완화
2020년 이후 플래시론 공격 방어 전략은 상당히 강화되었습니다. 2026년에 DeFi 프로토콜을 구축한다면, 이러한 방어 전략은 새로운 것이 아니라 필수적인 기본 요소가 될 것입니다.
- TWAP 오라클(시간 가중 평균 가격)은 이전 N개 블록(일반적으로 30분) 동안의 평균 가격을 읽습니다. 단일 거래로 이루어지는 플래시론은 30분 평균 가격을 의미 있게 변동시킬 수 없으므로, TWAP는 현물 가격 조작을 무력화합니다. Uniswap V2 및 V3에는 내장된 TWAP 누적 기능이 제공됩니다.
- 체인링크 가격 피드는 여러 거래소의 오프체인 VWAP 데이터를 집계하고 비동기적으로 업데이트합니다. 공격자가 체인링크 피드를 조작하려면 단순히 하나의 DEX 풀을 이동시키는 것만으로는 부족하고, 피드에 사용되는 독립적인 오라클 노드의 절반 이상을 손상시켜야 합니다. 이것이 바로 대부분의 최신 대출 프로토콜이 체인링크를 주요 오라클로 사용하는 이유입니다.
- 재진입 방지 기능은 플래시 대여된 계약이 콜백 중에 피해자 시스템에 다시 진입하는 것을 방지합니다. OpenZeppelin의 `nonReentrant` 수정자가 표준 구현 방식입니다.
- 거버넌스 타임락은 제안 통과와 실행 사이에 24~48시간의 지연을 초래합니다. 급전 대출로 확보한 의결권 과반수는 사용되기도 전에 소멸됩니다. 빈스톡이 2022년 4월에 입은 1억 8,200만 달러의 손실은 기본적인 타임락이 없었다면 발생하지 않았을 것입니다.
- 일시 중지 메커니즘과 회로 차단기는 DAO 위원회에 프로토콜을 즉시 중단할 수 있는 비상 권한을 제공합니다. Radiant Capital은 취약한 USDC 마켓이 배포된 지 6초 만인 2024년 1월에 바로 이 기능을 사용하여 자금 유출을 막았습니다.
- Foundry나 Echidna를 사용한 불변 조건 및 속성 기반 테스트는 메인넷 출시 전 Euler Finance의 `donateToReserves` 문제와 같은 예외적인 버그를 잡아낼 수 있습니다. Euler Finance 사태 이후, 이러한 테스트 방식은 모든 감사 등급 코드베이스에 대한 표준 관행이 되었습니다.
이러한 방어 기제들이 결합되어 2022년 이후 TVL이 다시 상승하는 와중에도 DeFi 손실률 대비 TVL 비율이 꾸준히 하락한 것입니다. 플래시론의 위력이 약해진 것이 아니라, 프로토콜들이 가격을 더 정확하게 읽어내는 능력이 향상된 것입니다.
급전 대출, 자금 세탁 및 블록체인 추적
플래시론은 온체인 규정 준수 팀에게 작지만 실질적인 문제로 대두되고 있습니다. 플래시론 자체가 자금 세탁을 하는 것은 아닙니다. 원금은 동일한 거래 내에서 자금 풀로 다시 돌아와야 하기 때문입니다. 진짜 문제는 플래시론이 믹서, 크로스체인 브리지, 스왑 애그리게이터와 연결되어 도난 자금의 흐름을 여러 조각으로 나누어 추적을 어렵게 만들 수 있다는 점입니다. 2024년 발생한 주나미 프로토콜 공격은 플래시론을 이용한 단일 조작으로 약 210만 달러를 탈취했으며, 그 수익금의 일부는 여러 프로토콜을 거쳐 믹서 주소로 이동했습니다.
긍정적인 측면에서 보면, 모든 플래시론은 완전히 공개된 EVM 거래입니다. Chainalysis, TRM Labs, Elliptic과 같은 분석 회사들은 플래시론 제공자, 차용 금액, 그리고 모든 하위 계약 상호 작용을 포함하여 거래 내역을 정확하게 재구성할 수 있습니다. 오일러 파이낸스 공격자("Jacob")는 2023년 3월에 거의 실시간으로 추적되었고, 온체인 기록이 명확했기 때문에 결국 모든 자금을 반환했습니다. 플래시론이 공격자를 익명으로 만드는 것은 아닙니다. 단지 공격과 정상적인 정산 사이의 시간 간격을 극도로 짧게 만들 뿐입니다.
2024-2026년 긴급 대출 현황 및 규모 증가
플래시론은 2024년과 2025년에 조용히 성숙기에 접어들었습니다. TradingView의 자료에 따르면, Aave의 V3 플래시론 거래량은 2025년 3개월 동안 약 75억 달러에 달했으며, The Block에 따르면 Aave는 모든 유형의 대출 잔액이 약 250억 달러에 이르러 전체 DeFi 대출 시장을 선도했습니다. Balancer는 개발자 통합을 지속적으로 지원하기 위해 여러 차례의 거버넌스 투표를 통해 0% 플래시론 수수료를 유지했습니다. Uniswap의 V3 플래시 스왑은 일반적인 대출보다는 특정 거래쌍의 거래량이 필요한 경우 여전히 가장 많이 사용되는 방식이었습니다.
취약점 공격이 완전히 사라진 것은 아니지만, 평균적으로 그 규모는 줄어들었습니다. Radiant Capital은 2024년 1월 2일 Arbitrum에 결함이 있는 USDC 마켓을 배포한 지 6초 만에 450만 달러의 손실을 입었습니다. KiloEx는 2025년 4월 14일 크로스체인 오라클 조작 취약점 공격으로 750만 달러의 손실을 입었지만, 4일 후 75만 달러의 화이트햇 현상금을 받고 모든 자금을 되찾았습니다. 두 사건 모두 2021년부터 2023년까지 발생했던 하루 1억 달러 이상의 손실 규모에 비하면 훨씬 작았으며, 두 사건 모두 신속하게 발견되어 해결되었습니다.
2025년 가장 중요한 사건은 기술적인 문제가 아니라 법적인 문제였습니다. 맨해튼 배심원단은 2024년 4월, 1억 1600만 달러 규모의 망고 마켓(Mango Markets) 사기 사건으로 아브라함 아이젠버그에게 유죄 판결을 내렸습니다. 이들은 플래시론을 이용한 오라클 조작을 전신 사기 및 상품 시장 조작으로 간주했습니다. 그러나 2025년 5월 23일, 아룬 수브라마니안 판사는 관할권 및 구성 요건을 이유로 모든 유죄 판결을 파기했습니다. 이 판결은 아이젠버그 측의 "합법적인 시장 조작"이라는 변호를 인정한 것은 아니지만, 미국에서 플래시론 사기 사건을 기소하는 법적 기준을 새롭게 정립했습니다.
2026년 플래시론의 핵심 요약
플래시론은 DeFi의 가장 깔끔한 혁신 중 하나이면서 동시에 가장 오해받는 혁신이기도 합니다. 플래시론 자체는 악의적인 것이 아니며, 취약점도 아닙니다. 단지 계약을 보유한 모든 사용자에게 헤지펀드가 독점했던 것과 같은 즉각적인 유동성 접근 권한을 제공하는 기본적인 기능일 뿐입니다. 2026년 플래시론 거래량의 대부분은 DeFi 가격의 균형을 유지하는 데 도움이 되는 지루한 차익거래 및 재융자 거래에서 발생합니다. 공격 사례가 헤드라인을 장식하지만, 실제 거래량은 시장의 효율성을 유지하는 데 기여하는 검색 사용자들로부터 발생합니다.
하지만 반대로, 가격, 잔액, 투표 임계값 등을 단일 블록 내에서 조작할 수 있는 방식으로 읽는 프로토콜은 결국 플래시론 공격에 노출될 수밖에 없습니다. 올바른 대응책은 플래시론을 금지하는 것이 아닙니다(금지할 수는 없습니다). 공격자가 일시적으로 수십억 달러를 장악하더라도 안전성을 유지하는 프로토콜을 구축하는 것입니다. TWAP 오라클, 체인링크 피드, 거버넌스 타임록, 그리고 불변 테스트는 더 이상 선택 사항이 아닙니다. 플래시론이 존재하는 블록체인 환경에서 운영하기 위한 필수 요소입니다.
