[논문]블록체인 탈중앙화 거래소 DEX의 취약점과 MEV 공격 기법 분석

최낙훈; 김희열

블록체인 탈중앙화 거래소 DEX의 취약점과 MEV 공격 기법 분석

情報保護學會誌 = KIISC review, v.34 no.1, 2024년, pp.53 - 59

최낙훈 (경기대학교 컴퓨터과학과 정보보호연구실) , 김희열 (경기대학교 AI컴퓨터공학부)

초록
AI-Helper

블록체인 기술의 발전과 중앙집중형 금융서비스의 취약성과 불신에 대한 우려가 커지면서 탈중앙화 금융(DeFi)과 탈중앙화 거래소(DEX)가 유망한 대안으로 떠올랐다. 본 논문에서는 특히 Uniswap에 초점을 맞춰 DeFi 내의 과제와 문제를 살펴본다. 우리는 DeFi 및 DEX의 현재 상태에 대한 배경 지식을 제공하여 MEV(Maximal Extractable Value) 공격에 대한 취약성을 강조한다. 우리의 접근 방식에는 MEV 공격 패턴을 식별하고 분석하기 위한 Uniswap에 구조 분석이 포함된다. 이 연구는 DEX 보안을 강화하고 MEV 위험을 완화하기 위한 귀중한 지침을 제공하여 DeFi 생태계의 이해관계자에게 필수적인 리소스 역할을 한다.

표/그림 (5)

그림 [그림 1] CPMM 기반의 DEX의 토큰 교환(Swap) 예시.
그림 [그림 2] 블록체인 블록 생성자(Miner)의 MEV(Miner Extractable Value)거래 선택 및 선행 공격 (Front-running).
그림 [그림 3] Sandwich공격의 실행 과정 및 수익 창출 과정.
그림 [그림 4] Just-In-Time Liquidity의 실행 프로세스.
그림 [그림 5] DEX flashloan 기반 차익거래 실행 프로세스.

AI 본문요약
AI-Helper

문제 정의

본 논문은 블록체인 금융서비스인 DeFi와 DEX 시스템의 취약점과 이에 기반하는 다양한 공격 기법을 확인한다. 이를 통해 시장 동향과 사용자 행동, 보안 문제를 파악함으로써, 이 분야의 보안 강화와 효율적인 시장 운영 방안을 모색한다.
본 논문은 탈중앙화 거래소, 특히 Uniswap에 초점을 맞추어 Maximal Extractable Value (MEV) 공격이라는 탈중앙화 금융(DeFi) 분야의 중대한 위험을 강조한다. 이 연구는 DeFi 생태계의 복잡한 구조와 MEV-bot과 같은 정교한 위협에 대한 취약성을 드러낸다.
앞선 챕터에서는 블록체인의 블록 생성 과정에서의 MEV 특성에 의한 구조적인 공격 취약점에 대해 서술하였다. 이 챕터에서는 DEX가 가지는 구조적인 취약점과 DEX가 도입한 서비스에 의해 발생하는 취약점과 공격에 대해 확인한다.

제안 방법

이를 통해 시장 동향과 사용자 행동, 보안 문제를 파악함으로써, 이 분야의 보안 강화와 효율적인 시장 운영 방안을 모색한다. DEX에서 발생하는 프론트 러닝 기법을 기반으로 하는 MEV-bot의 공격 방식과 DEX 차익거래 등의 여러 공격을 분석한다. DEX거래에서 차익거래 봇과 프론트러닝 기반 MEV-bot은 전체 거래량의 일평균 10억달러 중 4.
블록체인 사용자의 트랜잭션은 바로 처리되는 것이 아닌 블록생성자 후보의 트랜잭션 대기공간인 mempool에서 보류되어 있다가, 선출된 블록생성자에 의해 선택되어 특정 블록에 삽입된 후 블록으로 가공되어 블록체인에 합류한다. 라운드에서 선출된 블록 생성자(Ethereum Validator)는 mempool에서 계류중인 트랜잭션 중 가장 높은 수수료(gas)를 지불하는 트랜잭션들을 우선 선택하여 블록으로 가공하고자 한다. 채굴자는 MEV-bot과 마찬가지로 최대의 이익을 추구한다.
본 논문은 2장에서 블록체인과 탈중앙화 금융 및 탈중앙화 거래소에 대해 전반적으로 설명하며, 3장에서블록체인과 탈중앙화 거래소에 존재하는 취약점과 그 취약점을 기반으로 하는 공격유형을 분석한다. 마지막으로 4장에서 결론을 서술하며 논문을 마무리한다.
하지만, 잇따른 거래소 해킹과 자산 탈취, 중앙화된 거래소의 판단에 대한 신뢰성 부족 등 다양한 문제가 발생하고 있다. 블록체인 연구자들은 이러한 중앙화된 서비스에서 발생하는 문제와 탈중앙화라는 블록체인의 기조를 강화하기 위한 금융 기술인 DeFi와 DEX를 제안하였다. DeFi는 전통적인 중앙 집중형 금융 체계를 대체하는 블록체인 기반의 금융 서비스를 제공하며, DEX는 이러한 새로운 금융 생태계에서 사용자들에게 암호화 자산의 직접적인 자산 교환의 기회를 제공한다.

데이터처리

2023년 전체 DEX의 거래량은 $889 billion에 이르며, 전체거래자는 4,320만여명에 이른다. 우리는 DEX 분석을 위해 가장 큰 거래볼륨과 사용자 수를 가지는 Uniswap에 대한 분석을 수행한다. Uniswap은 오픈소스 DeFi 프로젝트로, 스시스왑(SushiSwap)과 같은 거래소는 Uniswap 오픈소스를 기반으로 유사한 구조로 구성되었다.

이론/모형

Uniswap은 AMM기반의 거래소로, 가격 결정 알고리즘, 유동성 공급자, 토큰 페어로 구성된다. Uniswap은 AMM 모델 중 CPMM(Constant Product Market Maker) 모델을 사용한다. CPMM은 상수 곱셈 공식인 식 (1)을 통해 가격을 결정하며, X와 Y는 각 토큰(x, y)의 수량을 뜻하며, K는 수량의 곱을 뜻한다.

후속연구

사용자 탈중앙화 시장에서-거래에 있어 자산 탈취의 위험성과 무분별한 bot의 활동은 시장 진입에 대한 진입 장벽이며, 기술 발전의 걸림돌이 될 것이다. DEX 거래를 위한 안전하고 공정한 거래 기술이 연구될 필요성이 있으며, 탈중앙화된 환경에서도 일반 사용자를 보호하기 위한 방안이 시급하다.
우리는 MEV 공격을 사전에 감지하고 대응하기 위해 더욱 역동적인 보안 프로토콜과 고급 모니터링 시스템의 구축을 지지한다. 또한, 탈중앙화 환경에서 공정한 거래를 위한 거래 기술을 개발을 촉구한다. 이 연구는 이러한 위협의 진화하는 본질과 탈중앙화 공간 내에서 더욱 강건한 금융 구조의 개발에 대한 추가 연구의 길을 열어준다.
또한, 탈중앙화 환경에서 공정한 거래를 위한 거래 기술을 개발을 촉구한다. 이 연구는 이러한 위협의 진화하는 본질과 탈중앙화 공간 내에서 더욱 강건한 금융 구조의 개발에 대한 추가 연구의 길을 열어준다. 결론적으로, DeFi와 DEX는 금융 서비스를 혁신적으로 변화시키고 있지만, 그들의 보안은 여전히 중요한 문제이다.
우리는 이러한 공격 기법을 소개하고 공격량 측정을 통해 MEV 공격자의 심각성을 재조명한다. 이러한 분석과 연구는 DeFi와 DEX의 안정성과 투명성을 향상시키는데 기여할 뿐만 아니라, 이 분야의 학문적 연구와 산업적 실천에 중요한 참고 자료가 될 것이다.

참고문헌 (13)

Schar, Fabian. "Decentralized finance: On blockchain-and smart contract-based financial markets." FRB of St. Louis Review, 2021.？
A. D. Popescu, "Understanding FinTech and Decentralized Finance (DeFi) for Financial Inclusion," FinTech Development for Financial Inclusiveness, IGI Global, pp. 1-13, 2022.？
WU, Siwei, et al. "Defiranger: Detecting price manipulation attacks on defi applications." arXiv preprint arXiv:2104.15068, 2021.？
HEIMBACH, Lioba; WATTENHOFER, Roger. "Sok: Preventing transaction reordering manipulations in decentralized finance." arXiv preprint arXiv:2203.11520, 2022.？
ZHOU, Liyi, et al. "High-frequency trading on decentralized on-chain exchanges." 2021 IEEE Symposium on Security and Privacy (SP). IEEE, p. 428-445, 2021.？
Krishnamurthi, Rajalakshmi, and Tuhina Shree. "A Brief Analysis of Blockchain Algorithms and Its Challenges." Architectures and frameworks for developing and applying blockchain technology, 69-85, 2019.？
"Introducing Uniswap v3." Accessed: Jan. 31, 2024. [Online]. Available: https://blog.uniswap.org/uniswap-v3？
WU, Mike; MCTIGHE, Will. "Constant power root market makers." arXiv preprint arXiv:2205.07452, 2022.？
WANG, Ye, et al. "Cyclic arbitrage in decentralized exchanges." Companion Proceedings of the Web Conference 2022. p. 12-19, 2022.？
J. Fabregas, "Tracking Ethereum blockchain crypto attackers: Measuring sandwich attacks," Tarlogic Security. Accessed: Dec. 01, 2023. [Online]. Available: https://www.tarlogic.com/blog/ethereum-blockchain-sandwich-attacks/？
DAIAN, Philip, et al. "Flash boys 2.0: Frontrunning, transaction reordering, and consensus instability in decentralized exchanges." arXiv preprint arXiv:1904.05234, 2019.？
XIONG, Xihan, et al. "Demystifying Just-in-Time (JIT) Liquidity Attacks on Uniswap V3." Cryptology ePrint Archive, 2023.？
"Flashloans." Accessed: Jan. 31, 2024. [Online]. Available: https://flashloans.com/

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증