https://secureum.substack.com/p/audit-findings-201

126. 플래시 론을 이용한 안정 금리(stable rate) 조작 가능성

• 플래시 론을 사용하면 사용자가 프로토콜로부터 대규모 유동성을 순간적으로 빌리고 반환할 수 있습니다. 이 과정에서 준비금(reserve) 내 유동성을 일시적으로 급감 또는 급증시켜, 안정 금리(stable interest rate)를 인위적으로 높이거나 낮출 수 있습니다.

  예:

  1. 대규모 플래시 론 → 준비금 감소 → 대출 금리 상승

  2. 혹은 대규모 입금 → 준비금 증가 → 대출 금리 하락

     이후 변동된 금리 구간에서 거래를 실행해 이익을 취득하고 플래시 론을 상환.

• 영향

  • 대출/예치 금리 왜곡 → 정상 사용자 이자 부담·수익 왜곡
  • 금리 기반 상품(레버리지 포지션, 장기 대출)의 경제적 손실 유발
  • 시장 신뢰도 저하

• 권장 조치

  1. 온체인 모니터링:
     • 대규모 단기 유동성 변화를 감지
     • 특정 블록/트랜잭션 단위의 급격한 금리 변동 로깅
  2. 이자율 업데이트 완화:
     • 금리 조정 시 이동 평균 적용
     • 블록 단위 금리 변동폭 제한
  3. 플래시 론 영향 최소화:
     • 금리 조정 로직에서 단기 유동성 스파이크의 반영 비율 축소
  4. 사전 경고 시스템:
     • 비정상 금리 변동 시 관리 계정에 알림
  5. 외부 감사·알고리즘 개선:
     • 이자율 모델의 플래시 론 취약성 테스트 강화

• 심각도: 중간~높음 (경제적 악용 가능성에 따라 High까지 상승 가능)

• 출처: ConsenSys’s Audit of Aave Protocol V2

127. 검증된 자산만 화이트리스트에 포함

• Aave Governance DAO의 일부 기능은 토큰의 올바른 동작에 의존합니다.

  만약 악성 토큰이 화이트리스트에 포함되면 다음과 같은 위험이 발생할 수 있습니다.

  1. 특정 토큰으로 투표를 불가능하게 만드는 방해 행위
  2. 잔액 조작을 통한 부당한 투표권 확보
  3. 표준을 따르지 않는 토큰(예: ERC20 규격 위반)의 예기치 못한 동작으로 인한 시스템 오류

• 영향

  • 거버넌스 투표 방해 또는 무력화
  • 의사결정 결과 조작
  • 프로토콜 신뢰성 및 안정성 하락

• 권장 조치

  1. 화이트리스트 추가 전 보안 감사 수행
     • ERC20, ERC777 등 표준 준수 여부 검증
     • 재진입 공격 가능성, 전송 수수료, 리베이스(잔액 변동) 여부 확인
  2. 테스트넷 시뮬레이션
     • 실제 거버넌스 시나리오 기반 기능 테스트
  3. 정기 재검증
     • 토큰 업그레이드, 래핑(wrapping), 컨트랙트 변경 시 재감사
  4. 화이트리스트 관리 절차 강화
     • DAO 투표 + Timelock 적용
  5. 위험 자산 등급화
     • 위험도가 높은 자산은 제한적 권한만 부여

• 심각도: 중간(Medium) (거버넌스 기능 무력화 가능성이 있으므로 경우에 따라 높음)

• 출처: ConsenSys’s Audit of Aave Governance DAO