DeFi 뉴스를 보다 보면 "플래시론으로 수백만 달러가 털렸다"는 문장을 자주 만나요. 담보도 없이 큰돈을 빌린다는 말이 처음엔 사기처럼 들리는데, 알고 보면 블록체인의 작동 방식을 그대로 이용한 정상 기능이에요. 오늘은 플래시론이 정확히 무엇이고 어떻게 안전하게 성립하는지, 그리고 왜 해킹에 자주 쓰이는지 초보 눈높이로 풀어볼게요.
결론부터 말하면, 플래시론(flash loan)은 담보 없이 자산을 빌린 뒤 같은 거래(트랜잭션) 안에서 원금과 수수료를 되갚는 대출이에요. 핵심은 '같은 거래 안에서'예요. 블록체인 거래는 중간 단계가 하나라도 실패하면 거래 전체가 없던 일로 되돌아가는데(아토믹), 대출을 못 갚으면 거래가 통째로 취소돼 돈이 아예 나간 적이 없는 상태가 돼요. 그래서 빌려주는 쪽은 담보가 없어도 손해를 볼 수 없어요. 아래에서 원리부터 공격 구조까지 하나씩 볼게요.
![]()
플래시론이란 무엇인가
플래시론은 2020년 Aave가 대중화한 DeFi 대출 방식이에요. 일반 대출은 돈을 빌리기 전에 담보를 맡겨야 하고, 못 갚으면 담보가 청산돼요. 플래시론은 이 순서를 완전히 뒤집어요. 담보를 아예 요구하지 않는 대신, 빌린 금액과 수수료를 같은 거래가 끝나기 전에 반드시 되갚아야 한다는 조건 하나만 걸어요.
그래서 플래시론은 '한 블록 안에서만 존재하는 대출'이에요. 빌리는 순간과 갚는 순간이 서로 다른 시간이 아니라, 하나의 거래 안에 묶인 연속 동작이에요. 사람이 손으로 처리할 수 있는 게 아니라 스마트 컨트랙트 코드로만 실행되는 이유가 여기 있어요. 코드가 '빌린다 → 무언가 한다 → 갚는다'를 한 호흡에 처리하고, 마지막에 상환이 확인돼야만 거래가 성립해요.
담보 없이 어떻게 성립하나 — 아토믹 트랜잭션
플래시론의 안전장치는 신뢰가 아니라 '아토믹 트랜잭션(atomic transaction)'이에요. 아토믹은 '더 이상 쪼갤 수 없는'이라는 뜻으로, 거래 안의 모든 동작이 전부 성공하거나 전부 실패하거나 둘 중 하나만 된다는 성질이에요.
- 전부 성공: 빌린 돈으로 원하는 작업을 하고, 마지막에 원금과 수수료를 갚으면 거래가 확정돼요.
- 전부 실패: 갚지 못하면 그 거래의 모든 동작이 통째로 되돌려져요(revert). 돈을 빌린 기록조차 사라져요.
빌려주는 쪽이 안전한 이유는 빌리는 사람을 믿어서가 아니라, 못 갚으면 거래 자체가 성립하지 않기 때문이에요. 대출이 상환되지 않는 미래는 블록체인에 기록될 수가 없어요. 그래서 담보가 필요 없어요. 이 구조는 스마트 컨트랙트가 조건에 따라 자동으로 실행되는 원리와 맞닿아 있어요. 자동 계약이 어떻게 작동하는지 더 알고 싶다면 스마트 컨트랙트 작동 방식을 정리한 글에서 오라클과 함께 이해해두면 좋아요.
투자 정보 안내
본 글은 암호화폐 시장에 대한 객관 데이터·정보 제공 목적이며, 특정 코인 매수·매도 권유가 아닙니다. 암호화폐는 변동성이 매우 크고 원금 전액 손실이 가능하므로 본인 판단과 책임 하에 결정하세요.
플래시론 수수료와 대표 프로토콜
플래시론도 공짜는 아니에요. 유동성을 빌려주는 프로토콜은 소액의 수수료를 받아요.
| 프로토콜 | 플래시론 수수료 | 특징 |
|---|---|---|
| Aave V3 | 0.05% | 플래시론을 대중화한 원조, 거버넌스로 조정 가능 |
| Uniswap (플래시 스왑) | 스왑 수수료 수준 | 풀의 토큰을 잠깐 빌려 쓰는 방식 |
| Balancer | 0% (프로토콜 자체) | 빌린 자산을 같은 거래에 반환 조건 |
Aave V3 기준 수수료는 0.05%예요. 10만 달러를 빌리면 50달러의 수수료를 같은 거래 안에서 함께 갚아야 하는 셈이에요. 이 수수료는 배포 시점에 정해졌고 거버넌스 투표로 바뀔 수 있어요. 숫자만 보면 저렴하지만, 빌린 돈으로 무언가를 해서 수수료 이상을 남기지 못하면 거래가 실패하니 결국 손해는 시도한 사람 몫이에요.
플래시론은 원래 무엇에 쓰나 — 합법적 용도
플래시론은 해킹 도구로만 유명하지만, 원래 목적은 정상적인 DeFi 자본 효율이에요. 대표적인 합법적 용도는 이래요.
- 차익거래(arbitrage): A 거래소에서 싸고 B 거래소에서 비싼 순간, 플래시론으로 자본을 빌려 싸게 사서 비싸게 팔고 차익을 남긴 뒤 갚아요. 내 돈이 없어도 순간의 가격 차이를 활용해요.
- 담보 교체(collateral swap): 대출 담보를 청산 없이 다른 자산으로 바꿀 때, 플래시론으로 부채를 잠깐 갚고 담보를 교체한 뒤 다시 빌려요.
- 부채 리파이낸싱: 이자율이 더 낮은 프로토콜로 대출을 옮길 때 중간 자금으로 활용해요.
이런 용도에서 플래시론은 '큰돈이 잠깐 필요한데 오래 빌릴 필요는 없는' 상황을 코드로 해결해줘요. 문제는 같은 힘이 공격에도 쓰인다는 데 있어요.

플래시론 공격은 어떻게 일어나나
'플래시론 공격'이라는 말은 사실 부정확해요. 플래시론 자체는 취약점이 아니고, 취약한 프로토콜을 공격할 때 필요한 대량 자본을 무담보로 조달하는 수단일 뿐이에요. 진짜 문제는 대개 가격을 잘못 참조하는 프로토콜의 설계에 있어요.
가장 흔한 형태는 '오라클(가격 참조) 조작'이에요. 순서는 이래요.
- 공격자가 플래시론으로 막대한 자금을 빌려요.
- 그 돈으로 유동성이 얕은 풀에서 특정 토큰을 대량 매수해 가격을 순간적으로 부풀려요.
- 그 부풀린 가격을 그대로 담보 가치로 믿는 대출 프로토콜에서, 실제 가치보다 훨씬 많이 빌려요.
- 빌린 자산을 챙기고, 처음 플래시론을 갚은 뒤 차액을 들고 사라져요.
보안업체 Halborn 분석에서는 2023년까지 대형 가격 조작 공격의 약 62%가 플래시론을 동반했어요. 실제 사례로 2025년 4월 Yellow Protocol은 단일 DEX 풀 하나를 가격 소스로 쓰다가 약 240만 달러를 잃었고, 2025년 9월 Uniswap v4 기반 DEX Bunni는 플래시론이 동원된 익스플로잇으로 약 840만 달러를 잃었어요. Polter Finance도 단일 풀 가격 의존이 화근이었어요. 공통점은 하나같이 '얕은 풀 하나의 순간 가격을 진실로 믿었다'는 점이에요. 스왑 과정의 손실을 다루는 DEX 슬리피지·MEV 방어 가이드도 함께 보면 온체인 거래의 위험 그림이 넓어져요.
투자 정보 안내
본 글은 암호화폐 시장에 대한 객관 데이터·정보 제공 목적이며, 특정 코인 매수·매도 권유가 아닙니다. 암호화폐는 변동성이 매우 크고 원금 전액 손실이 가능하므로 본인 판단과 책임 하에 결정하세요.
프로토콜은 어떻게 방어하나
플래시론 공격의 뿌리가 '조작 가능한 가격'이라, 방어도 가격을 튼튼하게 만드는 쪽으로 발전했어요.
- TWAP 오라클: 순간 가격이 아니라 일정 시간의 시간가중평균가격(TWAP)을 써서, 한 거래 안의 순간 조작으로는 가격이 크게 흔들리지 않게 해요.
- 다중 오라클 집계: Chainlink 같은 독립적 외부 오라클을 여러 개 모아 참조해, 한 소스가 이상하면 걸러내요.
- 깊은 유동성 요구: 얕은 풀을 가격 기준으로 쓰지 않고, 조작 비용이 큰 깊은 시장을 참조해요.
이용자 입장에서 직접 코드를 고칠 수는 없지만, 내가 자금을 넣는 프로토콜이 어떤 가격 소스를 쓰는지, 감사(audit)를 받았는지 정도는 확인할 수 있어요. 담보와 청산이 어떻게 굴러가는지는 DeFi 렌딩 청산 원리 글에서 헬스팩터 개념과 함께 보면 이해가 빨라요.
자가진단 체크리스트 — 나는 플래시론을 바르게 이해했나
아래 항목을 점검해보세요.
- 플래시론은 담보 없이 빌리고 '같은 거래 안에서' 갚는 대출이라는 걸 안다
- 안전장치가 신뢰가 아니라 아토믹 트랜잭션(전부 성공/전부 실패)이라는 걸 안다
- 못 갚으면 거래가 통째로 취소돼 대출자가 손해 볼 수 없다는 원리를 이해한다
- 플래시론 자체가 아니라 취약한 가격 참조(오라클)가 공격의 뿌리라는 걸 안다
- TWAP·다중 오라클·깊은 유동성이 방어책이라는 걸 안다
3개 이하만 해당한다면, 위 '담보 없이 어떻게 성립하나'와 '플래시론 공격은 어떻게 일어나나' 부분을 다시 읽어보세요. 이 두 개념만 잡아도 DeFi 해킹 뉴스가 훨씬 명확하게 읽혀요.

자주 묻는 질문 (FAQ)
플래시론에 대해 자주 나오는 질문이에요.
Q. 플래시론은 일반 사용자도 받을 수 있나요?
기술적으로는 가능하지만 스마트 컨트랙트를 직접 짜야 해요. 빌리고 갚는 전 과정이 하나의 코드 안에서 실행돼야 하기 때문이에요. 그래서 일반 이용자가 지갑에서 버튼 누르듯 쓰는 기능은 아니고, 개발자나 자동화 봇이 차익거래·담보 교체 같은 목적에 활용해요.
Q. 플래시론으로 빌린 돈을 그냥 안 갚고 도망갈 수 없나요?
없어요. 그게 핵심이에요. 상환이 확인되지 않으면 거래 전체가 되돌려져서, 빌린 사실 자체가 블록체인에 남지 않아요. 돈을 들고 나가는 미래가 성립할 수 없는 구조라, 담보 없이도 대출이 가능한 거예요.
Q. 그럼 플래시론은 위험한 기능인가요?
플래시론 자체는 중립적인 도구예요. 위험은 대개 가격을 허술하게 참조하는 프로토콜 쪽에 있어요. 잘 설계된 프로토콜은 TWAP·다중 오라클로 순간 조작을 막아요. 뉴스에서 '플래시론 공격'이라고 부르지만, 실제로 뚫리는 건 취약한 오라클과 얕은 유동성이에요.
Q. 플래시론 수수료는 얼마인가요?
프로토콜마다 달라요. Aave V3는 0.05%로, 10만 달러를 빌리면 50달러를 같은 거래에 함께 갚아야 해요. 이 값은 거버넌스 투표로 바뀔 수 있고, Uniswap의 플래시 스왑처럼 스왑 수수료 수준으로 처리되는 방식도 있어요.
Q. 플래시론 공격을 당하지 않으려면 이용자는 뭘 봐야 하나요?
내가 자금을 넣는 DeFi 프로토콜이 어떤 가격 오라클을 쓰는지, 보안 감사를 받았는지, 유동성이 충분히 깊은지를 확인하는 게 현실적인 방어예요. 신생·미감사 프로토콜에 큰 자금을 몰아넣는 건 그 자체로 위험을 키워요.
마무리 — 도구는 중립, 위험은 설계에 있다
플래시론은 담보 없이 빌리고 같은 거래 안에서 갚는 DeFi 대출이에요. 못 갚으면 거래가 통째로 취소되는 아토믹 트랜잭션 덕분에 담보 없이도 성립하고, 차익거래·담보 교체 같은 정상 용도로 널리 쓰여요. 뉴스의 '플래시론 공격'은 사실 취약한 가격 참조를 노린 것이라, 도구가 아니라 설계의 문제예요. 오늘은 관심 있는 DeFi 프로토콜이 어떤 오라클과 유동성 구조를 쓰는지 한 번 확인하며, 온체인 위험을 보는 눈을 넓혀보세요.
본 콘텐츠는 정보 제공 목적이며 특정 코인이나 프로토콜의 매매·이용 권유, 투자 자문이 아니에요. Coinday는 유사투자자문업 등 등록 사업자가 아니에요. 본문의 수수료·사례는 작성 시점의 공개 자료에 기반한 일반적 설명이며 미래 결과를 보장하지 않아요. 가상자산과 DeFi 이용은 스마트 컨트랙트 위험을 포함해 변동성이 매우 크고 원금 전액 손실이 발생할 수 있으며, 모든 결정과 그 손익은 전적으로 본인 책임이에요.