Uniswap “연동” 거래소 Bunni 해킹 당해, 손실 840만 달러 초과

ChainCatcher 메시지, 탈중앙화 금융(DeFi) 분야에서 또 다시 보안 사건이 발생했습니다. Uniswap을 기반으로 구축된 거래소 Bunni가 해커의 공격을 받아 840만 달러의 손실을 입었습니다. Bunni 공식 웹사이트에 따르면, 이 애플리케이션은 "모든 시장 조건에서 유동성 제공자의 이익을 극대화"하는 것을 목표로 하고 있지만, 오늘의 손실은 정반대의 결과를 초래했습니다.

이전 소식에 따르면, 암호화 보안 감사 회사 BlockSec Phalcon(@Phalconxyz)이 모니터링한 결과, 이더리움 네트워크에서 Bunni 프로토콜(@bunnixyz) 계약에 대한 의심스러운 거래가 발견되어 약 230만 달러의 손실을 초래했습니다. 약 두 시간 후, Bunni 팀은 이번 사건을 인정하고 모든 네트워크에서 계약을 중단했습니다. 이후 더 많은 감사 회사가 조사에 개입하여 이더리움 네트워크에서의 230만 달러 손실 외에도 Unichain 네트워크에서 600만 달러의 손실이 발생했음을 발견하여 총 손실이 840만 달러에 달했습니다.

이번 공격은 플랫폼의 "유동성 분배 함수" 곡선의 정밀도 결함과 관련이 있는 것으로 보입니다. 해커는 정교하게 설계된 거래 규모를 통해 해당 함수를 조작하여 재조정 계산에서 오류를 발생시켜 각 유동성 제공자가 보유해야 할 지분을 잘못 계산하게 만들었습니다. 해커는 이 과정을 반복하여 과도한 LP 토큰을 인출하고 Bunni의 유동성 풀을 고갈시켰습니다.

Bunni의 코드베이스는 Trail of Bits와 Cyfrin과 같은 유명 보안 회사의 감사를 받았으며, 보고서에는 "심각한" 문제가 존재했지만, 이번 공격이 이러한 감사 보고서의 범위 내에 있는지는 아직 불확실합니다.