Uniswap V4 기술을 기반으로 구축된 탈중앙화 거래소가 발표하기를, $8.4백만의 보안 취약점으로 인해 예비금이 고갈되면서 영구적으로 문을 닫기로 결정했다고 밝혔습니다. 개발팀은 재개를 위해 필요한 자금이 부족하다고 밝혔습니다. Bunni DEX는 사용자들에게 남은 자산을 인출할 수 있으며, 플랫폼의 금고는 토큰 보유자들 간에 분배될 것이며 회사는 운영을 중단할 것이라고 설명했습니다.
알아야 할 사항:
- 해커들은 9월 2일 Bunni DEX의 커스텀 유동성 시스템을 플래시 론을 사용하여 조작하였으며, 이로 인해 굴절 오류가 발생하며 Ethereum과 Unichain 네트워크에서 자금을 유출하였습니다. 사전 보안 검토에도 불구하고 이러한 침해가 발생하였습니다.
- 플랫폼의 총 잠금 가치는 공격 전 $2.2백만에서 거의 $80백만으로 급증하였으나, 이번 공격으로 불과 몇 초 만에 수개월 간의 성장이 무산되었습니다.
- 이번 종료는 탈중앙화 금융에 있어서의 어려운 한 해에 추가적인 문제를 초래하고 있으며, 보안 업체 Hacken에 따르면 2025년에는 31억 달러 이상의 손실을 초래한 것과 같은 파열 건수가 발생하였습니다.
해킹 세부 사항 및 재무 영향
이 침해는 Bunni가 거래 유동성 최적화를 위해 개발한 Liquidity Distribution Function의 자체 메커니즘을 표적으로 삼았습니다. 공격자들은 플래시 론을 사용하여 플랫폼의 내부 계산을 조작하였습니다. 이로 인해 라운딩 오류가 발생해 해커들이 체계적으로 자금을 추출할 수 있었습니다.
Bunni의 코드에 대해 Trail of Bits와 Cyfrin이 보안 검토를 진행했지만, 이 논리적 취약점은 이들 업체 모두에서 감지되지 않았습니다.
팀은 침해 사실을 발견하자마자 모든 스마트 컨트랙트를 즉시 중단했습니다.
그들은 X에 "플랫폼을 보안적으로 재개하려면 6에서 7자리 수의 감사 및 모니터링 시스템 자본이 필요하다"며 포스팅했습니다. "보안을 확보하여 재개하려면 그 정도의 자금이 필요하지만 그런 자본이 없습니다"라고 팀은 밝혔습니다.
Bunni의 금고는 BUNNI, LIT, veBUNNI 토큰 보유자들 간에 분배될 것입니다. 개발팀은 보상 지급에서 제외할 것이라고 밝혔습니다. 사용자들에게 남아 있는 자산을 "추후 공지가 있을 때까지" 인출하라고 안내했습니다.
폐쇄 전에 팀은 버전 2 스마트 컨트랙트의 라이선스를 Business Source License에서 MIT로 변경했습니다. 이를 통해 플랫폼의 기술, 유동성 배분 기능, 급등 수수료, 자율 재조정 기능을 포함하여 다른 개발자들에게 개방됩니다.
산업적 의미 및 보안 우려
플랫폼의 붕괴는 탈중앙화 금융 프로토콜 내의 지속적인 취약점을 강조합니다. Bunni는 공격 전 몇 개월 동안 급속한 성장을 경험했으며, DeFiLlama의 데이터에 따르면 총 잠금 가치가 $2.2백만에서 거의 $80백만까지 급증했습니다. 침해는 이 같은 성장을 초 단위로 무너뜨렸습니다.
플래시 론 공격은 탈중앙화 금융에서 계속해서 재발하는 문제입니다. 이러한 악용은 블록체인 거래가 원자적으로 실행된다는 사실을 이용합니다. 즉, 거래 내 모든 작업이 성공적으로 완료되든지 혹은 전부 실패하든지 합니다. 공격자들은 대량 차입, 가격 혹은 계산 조작, 그 조작으로 이득을 얻고, 다시 대출을 상환하고, 차액을 주머니에 넣는 모든 과정을 단일 거래 내에서 해결합니다.
Bunni의 $8.4백만 손실은 올해 탈중앙화 금융 분야에서 발생한 피해의 일부에 불과합니다.
보안 연구원 Hacken은 2025년에만 공격으로 인한 총 손실이 $3.1억을 초과했다고 보고했습니다.
이 사건은 개발자들이 커스텀 스마트 계약 로직을 배포하는 방식을 재고하도록 할 수 있습니다. 산업 관측통들은 플랫폼이 보안 검토에 대한 지출을 늘리고, 실시간 모니터링 시스템을 구현하며, 버그 바운티 프로그램을 확장하여 공격자들이 악용하기 전에 연구자들이 취약점을 식별하도록 보상할 가능성이 높다고 제안합니다.
탈중앙화 금융의 주요 용어들
총 잠금 가치는 탈중앙화 금융 프로토콜에 예치된 암호화폐의 양을 나타내며 플랫폼의 크기와 사용자의 신뢰도를 측정하는데 사용됩니다. 플래시 론은 동일한 블록체인 거래 내에서 차입 및 상환되어야 하는 담보 없는 대출로써 일반적으로 차익 거래에 사용되지만 공격자들에 의해 악용되기도 합니다. 스마트 계약은 중개자 없이 합의 조항을 자동으로 집행하는 블록체인 상의 자가 실행 프로그램입니다.
유동성 배분 기능은 탈중앙화 거래소에서 거래 유동성이 다양한 가격 범위에 어떻게 할당되는지를 관리하여, 거래자 및 유동성 제공자 모두에게 자본 효율성을 향상시키는 것을 목표로 합니다.
마무리 생각들
Bunni DEX의 폐쇄는 주요 보안 침해 이후 탈중앙화 금융 플랫폼이 직면하는 재정적 및 기술적 과제를 잘 보여줍니다. 폐쇄 전에 해당 기술을 오픈소스화하기로 한 팀의 결정은 다른 개발자들이 플랫폼의 취약점에서 배워 미래의 프로젝트를 구축하는 데 도움이 될 수 있습니다.