XRP Ledger, DeFi 손실 6억 달러 돌파 속 플래시론 공격 차단

XRP Ledger에 대한 초안 수정안은 개발자들이 오랫동안 주장해 온 바, 즉 해당 거래 아키텍처가 플래시론 공격을 구조적으로 불가능하게 만든다는 점을 공식적으로 확인했다.

5월 26일 개발자 Denis Angell과 Roman Thpt가 제출한 원장의 자동화된 마켓 메이커에 대한 제안된 업그레이드에는 보안 고려 사항 섹션에 직접적인 명시가 포함되어 있다: "플래시론 공격은 구조적으로 불가능합니다. XRPL 거래는 구성 가능한 트랜잭션 내 호출 없이 원자적(atomic)입니다."

이러한 차이는 플래시론 익스플로잇으로 인한 DeFi 손실이 계속 증가함에 따라 중요해지고 있다. Thorchain은 5월 15일 크로스체인 공격으로 비트코인, 이더리움, BSC, 베이스 전반에 걸쳐 약 1,080만 달러의 자금을 탈취당했다. 제안서에 인용된 데이터에 따르면 Drift Protocol과 KelpDAO는 4월까지 합산 6억 달러 이상의 손실을 기록했다. Chainalysis 데이터는 2021년 이후 크로스체인 브릿지가 공격으로 28억 달러 이상을 손실했다고 보여준다.

플래시론은 트레이더가 담보 없이 대규모 자금을 차입할 수 있게 해주며, 단, 동일한 거래 내에서 자금이 상환되어야 한다는 조건이 붙는다. 공격자는 가격 오라클을 조작하거나 유동성 풀을 고갈시킨 후 거래가 결제되기 전에 대출금을 상환함으로써 이 메커니즘을 무기화한다. 이러한 패턴은 하나의 거래 봉투(envelope) 내에서 여러 작업을 연결해야 하는데, 이는 이더리움의 가상 머신이 구성 가능한 스마트 계약을 통해 허용하지만 XRPL은 설계상 차단하는 구조이다.

XRPL 아키텍처가 공격 경로를 차단하는 이유

XRPL은 각 거래를 단일하고 독립적인 작업으로 처리한다. 트랜잭션 내 호출이 없으므로, 실행 중에 한 거래가 다른 계약을 호출할 수 없다. 플래시론 익스플로잇을 정의하는 차입-조작-상환 체인은 해당 모델 내에서 존재할 수 없다.

이에 대한 대가는 플래시론이 정당한 기능도 제공한다는 점이다. 이더리움과 솔라나의 차익거래 트레이더, 청산 봇, 담보 스왑은 자본 효율성을 위해 플래시론에 의존한다. Aave 및 dYdX와 같은 프로토콜은 이 메커니즘을 기반으로 제품을 구축했다. XRPL은 익스플로잇 유형을 완전히 제거하기 위해 이러한 사용 사례를 모두 포기한다.

오라클 조작 및 플래시론 취약점을 대상으로 한 20만 달러 규모의 버그 바운티 프로그램이 2025년 10월부터 11월까지 운영되었다. 제안서는 연구원들이 악용 가능한 취약점을 발견하지 못했다고 밝혔다. 5월 27일, fixCleanup3_1_3 수정안이 발효되어 대출 프로토콜 및 기타 DeFi 기능의 회계 오류를 수정했다.

XRPL에서 기관 활동 가속화

XRP Ledger의 토큰화된 실물 자산은 총 가치 30억 달러를 돌파했다. 프로젝트 팀에 따르면, Ripple, JPMorgan, Mastercard, Ondo Finance가 참여한 파일럿 프로젝트는 지난달 토큰화된 미국 재무부 채권 상환을 5초 이내에 처리했다.

네트워크는 또한 XLS-66 대출 프로토콜을 개발 중이며, 이는 오프체인 신용 평가와 온체인 유동성 풀을 결합한 고정 기간 및 무담보 대출을 도입할 예정이다. 또한 XLS-65 단일 자산 금고(Single Asset Vaults)는 유동성 공급자가 이중 토큰 예치 없이 풀링된 자금을 기여할 수 있도록 할 것이다.

기관 투자자들에게 있어 비교는 간단하지 않다. 이더리움은 더 깊은 유동성, 더 성숙한 DeFi 인프라, 더 큰 개발자 기반을 보유하고 있다. XRPL의 강점은 입증 가능한 아키텍처상의 이점, 즉 특정 익스플로잇 유형이 프로토콜 수준의 위험 설정을 통해 관리되기보다 거래 계층 자체에서 제거된다는 점에 있다. 이러한 트레이드오프가 의미 있는 자본을 유치할지 여부는 DeFi 인프라가 성숙해짐에 따라 얼마나 많은 유동성이 해당 원장으로 이동하는지에 달려 있다.

본 문서는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.