탈중앙화 거래소 Bunni 해킹 사건
Bunni가 해킹을 당해 약 240만 달러의 스테이블코인을 잃었습니다. 공격자들은 플랫폼의 유동성 계산을 조작한 것으로 여러 Web3 보안 회사의 온체인 데이터에 의해 확인되었습니다.
Bunni 팀은 화요일 X에서 “Bunni 앱이 보안 해킹의 영향을 받았다”고 밝혔습니다. 이어 “예방 차원에서 모든 네트워크의 스마트 계약 기능을 중단했다. 현재 팀이 조사를 진행 중이며 곧 업데이트를 제공할 것”이라고 덧붙였습니다.
이번 공격은 Bunni의 이더리움 기반 스마트 계약을 겨냥했으며, 자금은 133만 달러의 USDC와 104만 달러의 USDt를 보유한 주소로 유출되었습니다. Bunni의 핵심 기여자는 사용자들에게 가능한 한 빨리 플랫폼에서 자금을 인출할 것을 요청했습니다.
“Bunni에 돈이 있다면 즉시 제거하세요”라고 X에 썼습니다.
Bunni는 사용자가 대출, 차입 및 구조화된 암호화폐 제품을 설계할 수 있도록 하는 탈중앙화 대출 플랫폼인 Euler Finance를 통해 유동성을 관리합니다. 해킹 사건을 고려하여 Euler의 공동 창립자이자 CEO인 Michael Bentley는 프로토콜 자체는 해킹의 영향을 받지 않았다고 밝혔습니다.
Cointelegraph는 Bunni와 Euler에 논평을 요청했으나, 발행 시점까지 응답을 받지 못했습니다. Bunni가 해킹의 피해를 입은 방법에 대한 기술적 사후 분석은 아직 완료되지 않았지만, 개발자와 연구자들의 초기 분석에 따르면 Bunni의 유동성 재조정 처리 방식에 결함이 있는 것으로 보입니다.
Bunni는 Uniswap v4 위에 구축되었으며, Uniswap의 기본 로직 대신 Liquidity Distribution Function (LDF)이라는 맞춤형 메커니즘을 사용합니다. 이 메커니즘은 Bunni가 가격 범위에 따라 유동성 할당을 최적화하여 유동성 제공자에게 수익을 증가시키는 것을 목표로 합니다.
KyberNetwork의 공동 창립자인 Victor Tran에 따르면, 공격자는 특정 크기의 거래를 실행하여 LDF 곡선을 조작할 수 있었습니다.
“해커는 매우 특정한 크기의 거래를 통해 이 LDF를 조작할 수 있다는 것을 알아냈다”고 Tran은 X에 썼습니다. “이렇게 신중하게 선택된 금액들은 재조정 계산을 깨뜨려 각 LP 지분이 얼마나 되어야 하는지에 대한 잘못된 결과를 초래했다”고 덧붙였습니다.
공격자는 즉각적인 경고를 유발하지 않고 프로토콜의 자금을 점진적으로 유출하기 위해 여러 번 해킹을 실행한 것으로 보입니다. 8월에는 암호화폐 해커와 사기꾼들이 16건의 별도 사건에서 1억 6300만 달러 이상을 훔쳤으며, 이는 7월의 1억 4200만 달러에서 15% 증가한 수치입니다.
이 수치는 여전히 전년 대비 47% 낮지만, 암호화폐 시장이 활기를 띠면서 표적 공격이 증가하고 있음을 반영합니다. PeckShield 및 기타 사이버 보안 전문가들은 해커 행동의 전략적 변화에 주목하며, 공격자들이 이제는 소규모 탈중앙화 대상이 아닌 중앙 집중식 거래소와 고액 개인을 겨냥하고 있다고 밝혔습니다.
8월의 가장 큰 손실은 소셜 엔지니어링 공격에서 발생했으며, 한 비트코인 사용자가 암호화폐 거래소 및 하드웨어 지갑 제공자의 지원 직원으로 가장한 공격자에게 783 BTC(9100만 달러 상당)를 보내도록 속았습니다.
