Venus Protocol과 Bunni DEX가 해킹당해 2,100만 달러 이상 손실

Venus Protocol과 Bunni DEX는 심각한 보안 문제에 직면하여 수천만 달러의 손실을 입었고 처리를 위해 일시적으로 운영을 중단해야 했습니다.

Venus Protocol과 Bunni DEX가 해킹당해 2,100만 달러 이상 손실

금성 프로토콜: 고래들이 피싱으로 1,350만 달러를 잃었습니다.

9월 2일 저녁, BNB 체인의 가장 큰 대출 프로토콜 중 하나인 Venus Protocol 은 피싱 공격으로 인해 Venus 프로토콜이 배치한 자산(vUSDT, vUSDC, vWETH, vFDUSD 등) 약 1,350만 달러가 "고래"에 의해 손실된 후 모든 운영을 중단 해야 했습니다.

사용자 지갑이 비워지고 있다는 사실을 알고 있으며(스마트 계약은 안전함) 적극적으로 조사하고 있습니다.

비너스는 현재 보안 규정에 따라 운항이 중단되었습니다. 자세한 내용은 곧 알려드리겠습니다.

— Venus Protocol (@VenusProtocol) 2025년 9월 2일

사건 세부 정보

• 보안 회사인 PeckShield 에 따르면, 피해자는 자신도 모르게 악성 거래에 서명하여 공격자의 지갑 주소(0x7fd…6202a)를 열어 자산을 인출했습니다.

  • 이 거래를 통해 해커는 지갑에 있는 토큰에 대한 전체 액세스 권한을 얻습니다.

  • CertiK은 피해자의 지갑이 updateDelegate 함수를 호출하여 전체 금액이 사라지기 전에 해커에게 공식적으로 권한을 부여했다고 밝혔습니다.
    
    

• 총 인출된 자산 규모는 1,350만 달러로 추산됩니다. 이는 DeFi에서 매우 흔한 피싱 수법으로, 공격자는 단 하나의 승인 서명만 있으면 승인이 취소될 때까지 계속해서 자금을 인출할 수 있습니다.

Venus Protocol의 응답

• 사건 직후, 비너스는 즉시 다음과 같은 발표를 했습니다.

  • 보안 절차에 따라 전체 프로토콜을 일시 중지합니다.

  • 확언 : " 비너스는 악용되지 않았습니다. 이는 개별 사용자를 대상으로 하는 피싱 공격입니다. 스마트 계약은 여전히 안전합니다."

  • 자산을 보호하고 복구하기 위한 해결책을 찾기 위해 피해자에게 직접 연락했다고 합니다.

• 팀은 프로토콜이 즉시 재개될 경우 해커가 피싱 지갑에 남아 있는 자금에 접근할 수 있다고 강조했습니다. 따라서 운영을 일시적으로 중단하기로 한 결정은 불가피하다고 판단되었습니다.

• 또한, 비너스는 커뮤니티의 비상 계획 및 프로토콜 내 사용자 지원에 대한 투표를 위해 번개 투표(Lightning Vote)를 시작했으며, 100%의 합의를 달성했습니다. 구체적인 계획은 다음과 같습니다.

회복 결과

• 5시간 후, 비너스는 사용자가 위치를 조정할 수 있도록 허용한다고 발표했습니다.
  
  
• 오후 9시 58분 UTC에 인출 및 청산을 포함한 전체 프로토콜을 다시 엽니다 .
  
  
• 특히, 비너스는 해당 프로토콜이 해커의 지갑을 강제 청산하여 손실된 자금을 모두 복구했다고 밝혔습니다. 즉, 공격자가 자산을 회수하기 위해 대출 포지션을 청산하도록 강요하는 것입니다.
  
  
• 해당 정보가 발표되자마자 XVS 토큰 가격은 5.84달러로 폭락했습니다. 하지만 비너스 팀의 신속한 처리 덕분에 가격은 곧 6달러 선으로 회복되었습니다.

CoinGecko에서 2025년 3월 9일 오전 10시 30분에 촬영한 최근 24시간 동안의 XVS 가격 변동 스크린샷

Bunni DEX: 멀티체인 해킹, 840만 달러 피해

같은 날, Bunni DEX 거래소는 멀티체인에서 해킹을 당해 모든 스마트 계약 운영을 중단해야 했고, 이로 인해 해당 프로젝트는 약 840만 달러의 손실을 입었습니다.

🚨 Bunni 앱이 보안 취약점 공격을 받았습니다. 예방 조치로 모든 네트워크에서 모든 스마트 계약 기능을 일시 중지했습니다. 저희 팀은 현재 적극적으로 조사 중이며 곧 업데이트를 제공할 예정입니다. 양해해 주셔서 감사합니다.

— Bunni (@bunni_xyz) 2025년 9월 2일

사건 세부 정보

• 블록체인 보안 회사 CertiK 에 따르면, 이 공격은 Bunni의 주요 계약 시스템인 BunniHub를 표적으로 삼았습니다.
  
  
• 이더리움의 경우 USDC/USDT 풀에서만 600만 달러의 손실이 발생했고, 유니체인의 ETH/weETH 풀에서는 230만 달러가 추가로 손실되었습니다. 총 손실액은 830만 달러에서 840만 달러로 추산 됩니다.
  
  
• 인출은 두 개의 이더리움 지갑에서 발생했습니다. 공격자의 신원은 아직 밝혀지지 않았지만, 온체인 분석가들은 이것이 우연한 버그가 아닌 의도적인 공격이라고 보고 있습니다.
  
  
• 프로젝트 팀은 두 지갑의 거래를 면밀히 모니터링하고 해커에게 직접 체인상 메시지를 전송하고 있다고 확인했습니다.

Bunni는 조사를 위해 모든 스마트 계약을 일시 중지합니다.

• 이 문제를 발견한 직후, Bunni 개발팀은 다음과 같이 발표했습니다.

Bunni 앱이 보안 침해의 영향을 받았습니다. 예방 조치로 모든 네트워크에서 스마트 계약 기능을 모두 중단했습니다. 현재 출금은 불가능합니다. 담당팀에서 적극적으로 조사 중이며 가능한 한 빨리 업데이트를 제공할 예정입니다.

• 또한 이 프로젝트에서는 Seal 911, Hypernative, Cyfrin Audits, Impossible, BlockSec을 포함한 몇몇 주요 보안 파트너와 협력하여 비상 "작전실"을 설치하고 원인을 진단하고 있다고 밝혔습니다.

해킹 결과

• 약 20시간 전 마지막 발표 이후 Bunni 팀은 여전히 적극적으로 조사 중이라고 밝혔습니다. 하지만 해킹의 구체적인 원인, 실제 총 피해액, 그리고 사용자 보상 계획은 아직 불분명합니다.
  
  
• 위 뉴스에 따라 BUNNI 가격은 지난 24시간 동안 42.9% 이상 폭락했으며 현재는 $0.006415 근처에서 맴돌고 있습니다.

CoinGecko에서 2025년 3월 9일 오전 10시 40분에 촬영한 BUNNI 가격 변동 추이입니다.

Coin68 합성