탈중앙화 금융 프로토콜 Bunni의 공격 사건
탈중앙화 금융 프로토콜 Bunni는 9월 2일, 정교한 공격자가 플래시 론을 이용해 이더리움과 유니체인에서 유동성 풀을 조작하면서 840만 달러의 피해를 입었다. 이번 사건은 weETH/ETH 및 USDC/USDT 풀을 목표로 하였으며, Bunni의 스마트 계약 로직에서 발생한 반올림 오류로 인해 발생한 결함으로 귀결되었다.
Bunni는 230만 달러의 공격에 대해 반올림 버그를 책임으로 지며 10%의 보상을 제안했다. Bunni의 사후 분석에 따르면, 이번 공격은 세 단계로 실행되었다. 공격자는 먼저 300만 USDT를 플래시 론으로 빌린 후, 이를 사용해 USDC/USDT 풀의 현물 가격을 극단적인 수준으로 조작했다. 풀의 활성 USDC 잔액이 단 28 wei로 줄어들자, 공격자는 44개의 소규모 인출을 시작했다. 이는 Bunni의 코드에서 발생한 반올림 오류를 이용하여 풀의 유동성을 84% 이상 비정상적으로 낮추었다.
“우리는 Bunni를 구축하는 데 수년을 보냈습니다. 우리는 이것이 AMM의 미래라고 믿습니다.”
유동성이 인위적으로 억제되자, 공격자는 샌드위치 공격을 수행하여 가격을 왜곡된 값으로 밀어 올리는 대규모 스왑을 실행했다. 이전의 유동성 감소를 되돌리면서, 그들은 플래시 론을 상환하기 전에 이익을 추출했다. 총 공격으로 약 133만 USDC와 100만 USDT를 획득했다.
블록체인 보안 회사 Cyfrin은 Bunni의 스마트 계약이 인출 시 잔액을 반올림하는 방식에서 취약점이 발생했다고 확인했다. 이 메커니즘은 유동성을 과소평가하여 풀의 안전성을 높이기 위해 설계되었지만, 반복적인 소규모 인출이 반올림 로직이 대규모로 악용될 수 있는 조건을 만들었다.
Bunni는 가장 큰 풀인 유니체인의 USDC/USD₮0 쌍은 공격을 감행할 수 있는 플래시 론 유동성이 부족하여 피해를 면했다고 밝혔다. 해당 풀을 악용하기 위해서는 약 1700만 달러의 빌린 자산이 필요했지만, 당시 대출 플랫폼에서 이용 가능한 자산은 1100만 달러에 불과했다.
Bunni는 도난당한 자산이 현재 공격자와 연결된 두 개의 지갑에 분산되어 있다고 확인했다. 조사자들은 자금의 출처를 추적했지만, 지갑이 제재된 프라이버시 도구인 Tornado Cash를 통해 자금이 조달되었다는 사실을 발견한 후 막다른 길에 봉착했다. 팀은 공격자에게 직접 온체인으로 연락하여 남은 자금을 반환하는 대가로 10%의 보상을 제안했다.
중앙화 거래소에도 통보하여 어떤 오프램프 시도를 방지하고, 법 집행 기관과 협력하여 회수 옵션을 추구하고 있다. 즉각적인 사후 조치로 Bunni는 모든 운영을 중단했지만, 유동성 제공자들이 예금을 회수할 수 있도록 인출을 재개했다. 예금과 스왑은 개발자들이 수정 작업을 진행하는 동안 동결된 상태로 남아 있다.
여섯 명의 팀이 운영하는 Bunni는 이번 setback에도 불구하고 개발을 계속할 것이라고 밝혔다. 이 프로토콜은 팀이 새로운 세대의 자동화된 시장 조성기를 나타낸다고 주장하는 유동성 밀도 함수(LDF)와 같은 새로운 개념을 도입했다.
암호화폐 보안의 현황
8월, 해킹과 사기로 인해 1억 6300만 달러가 손실되면서 암호화폐 보안에 있어 세 번째로 나쁜 달로 기록되었다. Bunni는 한때 BNB 체인에서 8000만 달러 이상의 총 잠금 가치(TVL)를 자랑했지만, 이번 공격 이후 5000만 달러 이상으로 줄어들었다. 이번 사건은 이 부문을 강타한 일련의 공격과 사기에 추가되었다.
하루 전, Venus Protocol의 사용자가 피싱 사기로 1350만 달러를 잃었다. 블록체인 보안 회사 PeckShield에 따르면, 피해자는 악성 거래를 무의식적으로 승인하여 토큰 권한을 부여함으로써 도난을 가능하게 했다. 초기 보고서는 2700만 달러가 유출되었다고 제시했지만, 이후 분석에서는 부채 포지션이 수치에 잘못 포함되었다고 밝혔다.
Venus는 자사의 스마트 계약이 여전히 안전하다고 강조하며, 오직 사용자만이 피해를 입었다고 확인했다. 이번 사건은 8월에 암호화폐 관련 공격이 급증한 가운데 발생했으며, PeckShield 데이터에 따르면 16건의 주요 공격에서 1억 6300만 달러가 도난당했으며, 이는 7월의 1억 4200만 달러에서 증가한 수치이다.
가장 큰 단일 도난 사건은 8월 19일 발생했으며, 비트코인 보유자가 사회 공학 기법으로 783 BTC, 약 9140만 달러를 잃었다. 공격자들은 하드웨어 지갑 지원 직원으로 가장하여 민감한 자격 증명을 얻은 후, Wasabi Wallet을 통해 자금을 세탁한 것으로 알려졌다.
터키 거래소 BtcTurk도 공격을 받아 7개 블록체인 네트워크에서 멀티체인 핫 월렛 침해로 5400만 달러를 잃었다. 이 사건은 2024년 6월 이전 해킹 이후 누적 손실을 1억 달러 이상으로 끌어올렸다.
다른 주목할 만한 사례로는 ODIN•FUN의 700만 달러 손실, BetterBank.io의 500만 달러 공격, 그리고 개발자들이 프로젝트를 포기한 후 발생한 CrediX Finance의 450만 달러 붕괴가 있다. 피싱, 거래소 취약점, 그리고 엑시트 사기가 증가하는 손실을 초래하면서, 8월은 기술적 결함과 인적 오류가 암호화폐 산업을 계속 괴롭히고 있음을 강조했다.
