분산형 금융 프로토콜인 Bunni는 9월 2일에 840만 달러 규모의 공격을 받았습니다 . 정교한 공격자가 플래시론 이용해 Ethereum과 Unichain의 유동성 풀을 조작한 사건입니다.
weETH/ 이더리움(ETH) 와 USDC/ 테더 USDT(USDT) 풀을 표적으로 삼은 이 사건은 Bunni의 스마트 계약 논리에 반올림 오류가 포함된 결함으로 인해 발생한 것으로 추정됩니다.
Bunni, 230만 달러 규모의 악용 사건의 배후로 라운딩 버그 지목, 10% 현상금 제시
버니의 사후 분석에 따르면 , 이 공격은 세 단계로 진행되었습니다. 공격자는 먼저 플래시론 통해 300만 테더 USDT(USDT) 빌려 USDC/ 테더 USDT(USDT) 풀의 현물 가격을 극단적인 수준으로 조작했습니다.
풀의 활성 USDC 잔액이 28 wei로 줄어들자, 악용자는 44건의 소액 출금을 시도했습니다. 이는 Bunni 코드의 반올림 오류를 악용하여 풀의 유동성을 84% 이상 불균형적으로 감소시켰습니다.
유동성을 인위적으로 억제한 공격자는 샌드위치 공격을 실행하여 대규모 스왑을 실행하여 가격을 왜곡된 가치로 끌어올렸습니다.
그들은 이전의 유동성 감소를 역전시켜 플래시론 상환하기 전에 수익을 냈습니다. 이 공격으로 공격자는 총 약 133만 USDC와 100만 테더 USDT(USDT) 획득했습니다.
블록체인 보안 회사인 Cyfrin은 Bunni의 스마트 계약이 출금 시 잔액을 반올림하는 방식에서 취약점이 비롯되었다는 것을 확인했습니다 .
이 메커니즘은 유동성을 과소평가하여 풀의 안전성을 높이도록 설계되었지만, 소액의 인출이 반복되면서 대규모로 반올림 논리를 악용할 수 있는 조건이 만들어졌습니다.
Bunni는 자사의 가장 큰 풀인 Unichain의 USDC/USD₮0 통화쌍이 플래시론 유동성 부족으로 공격을 피했다고 언급했습니다. 해당 풀을 악용하려면 약 1,700만 달러의 차입 자산이 필요했지만, 당시 대출 기관 전체에서 사용 가능한 자금은 1,100만 달러에 불과했습니다.
버니는 도난당한 자산이 공격자와 연결된 두 개의 지갑에 분산되어 있다고 확인했습니다. 수사관들은 자금의 출처를 추적했지만, 해당 지갑이 승인된 개인정보 보호 도구인 토네이도 캐시를 통해 자금이 조달되었다는 사실을 발견하면서 막다른 길에 봉착했습니다.
해당 팀은 온체인 방식으로 악용자에게 직접 연락하여 잔여 자금을 반환하는 대가로 10%의 현상금을 제시했습니다. 또한, 중앙화된 거래소에도 오프램프 시도를 방지하기 위해 통보했으며, 법 집행 기관은 회수 방안을 모색하기 위해 노력하고 있습니다.
Bunni는 즉각 모든 운영을 중단했지만, 이후 유동성 공급자들이 예치금을 회수할 수 있도록 출금 기능을 다시 활성화했습니다. 개발자들이 문제 해결을 위해 노력하는 동안 예치금과 스왑은 동결된 상태로 유지됩니다.
영향을 받는 함수의 반올림 방향을 변경하면 현재의 악용 벡터가 무력화되지만, 해당 팀은 완전히 다시 열기 전에 더 광범위한 테스트와 보안 개선이 필요하다는 것을 인정했습니다.
6명으로 구성된 팀으로 운영되는 Bunni는 이러한 어려움에도 불구하고 지속적인 개발을 위해 최선을 다하고 있다고 밝혔습니다. 이 프로토콜은 유동성 밀도 함수(LDF)와 같은 새로운 개념을 도입했는데, Bunni 팀은 이것이 차세대 자동 마켓 메이커라고 주장합니다.
개발팀은 성명을 통해 "우리는 Bunni를 수년간 만들어 왔습니다. Bunni가 AMM의 미래라고 믿기 때문입니다."라고 밝히며, 유사한 공격을 방지하기 위해 코드베이스와 테스트 프레임워크를 강화하겠다고 약속했습니다.
8월은 해킹과 사기로 1억 6,300만 달러가 손실되면서 암호화폐 보안에 있어 세 번째로 최악의 달을 기록했습니다.
한때 바이낸스 코인(BNB) 체인에 8천만 달러 이상의 TVL(Total Value Locked) (Total Value Locked(TVL) )를 보유하고 있던 Bunni는 이번 공격 이후 현재 5천만 달러를 약간 넘는 금액을 보유하고 있습니다 . 이 사건은 해당 분야를 강타하는 일련의 공격과 사기에 더해집니다.
불과 하루 전, 비너스 프로토콜(Venus Protocol) 사용자가 피싱 사기로 1,350만 달러를 잃었습니다. 블록체인 보안 회사인 펙쉴드(PeckShield)에 따르면, 피해자는 자신도 모르게 악성 거래를 승인하여 토큰 권한을 부여함으로써 도난을 가능하게 했습니다.
초기 보고서에 따르면 2,700만 달러가 유출된 것으로 나타났지만, 이후 분석 결과 부채가 실수로 포함된 것으로 드러났습니다. 비너스는 스마트 계약의 보안이 유지된다고 강조하며 사용자만 침해당했음을 확인했습니다.
이 사건은 8월 암호화폐 관련 공격이 급증한 데 따른 것으로, PeckShield 데이터에 따르면 16건의 주요 공격을 통해 1억 6,300만 달러가 도난당했으며 , 이는 7월의 1억 4,200만 달러 보다 증가한 수치입니다. 이러한 손실로 인해 8월은 2025년 암호화폐 보안 분야에서 세 번째로 최악의 달이 되었습니다.
가장 큰 규모의 단일 도난 사건은 8월 19일에 발생했는데, 한 비트코인홀더 소셜 엔지니어링 수법으로 783 비트코인(BTC)(약 9,140만 달러 상당)를 도난당했습니다 . 공격자들은 하드웨어 지갑 지원 직원으로 위장하여 민감한 개인 정보를 얻은 후 Wasabi Wallet을 통해 자금을 세탁한 것으로 알려졌습니다.
터키 거래소 BtcTurk도 7개 블록체인 네트워크에 걸쳐 발생한 멀티 체인 핫 월렛 침해로 5,400만 달러의 손실을 입었습니다. 이 사고로 2024년 6월 해킹 사건 이후 누적 손실액이 1억 달러를 넘어섰습니다.
다른 주목할 만한 사례로는 ODIN•FUN의 700만 달러 손실, BetterBank.io의 500만 달러 착취, 개발자들이 프로젝트를 포기한 후 가짜 스캠 로 변한 CrediX Finance의 450만 달러 붕괴 등이 있습니다.
피싱, 거래소 취약성, 탈퇴 사기로 인해 손실이 늘어나는 가운데, 8월은 기술적 결함과 인적 오류가 암호화폐 산업을 계속해서 괴롭히고 있다는 점을 강조했습니다.
