스마트 계약 중단, DeFi 보안 취약점 노출

Bunni DEX, 스마트 계약 중단

Bunni DEX 프로토콜은 약 840만 달러 규모의 해킹 사건으로 인해 스마트 계약을 일시 중단했습니다. 이는 최근 몇 달 사이에 발생한 탈중앙화 거래소(DEX) 분야의 가장 큰 해킹 사건 중 하나로, 여러 블록체인 네트워크에 걸쳐 보고되었습니다.

2022년 한 해 동안 DeFi 해킹 사건은 31억 달러 이상의 손실을 발생시켰으며, 이는 금융 산업 전반에 걸친 블록체인 보안 문제의 심각성을 반영합니다.
Chainalysis의 연구에 따르면, 2023년 상반기 DeFi 플랫폼을 대상으로 한 해킹 사건이 70% 이상 증가했으며, 대부분의 해킹은 스마트 계약의 취약점을 노린 것으로 나타났습니다.

이번 공격은 프로토콜의 자동화 시장 메이커(AMM) 메커니즘을 조작하여 여러 연결된 체인에서 자산을 유출하는 방식으로 이루어졌습니다. 이는 전통적인 주문서 없이 거래를 촉진하는 메커니즘으로, 해커가 이 기능을 악용하여 자산을 탈취했습니다.

AMM 메커니즘은 탈중앙화 거래소에서 가장 일반적인 형태로, Uniswap과 Sushiswap과 같은 대형 DEX에서 널리 사용됩니다. 이 메커니즘은 유동성 제공자와 거래자 간의 직접 거래를 없이 거래를 가능하게 합니다.
AMM 조작 공격은 가격 조작을 통해 유동성 풀에 잘못된 정보를 제공함으로써 이루어지며, 결과적으로 정확하지 않은 자산 교환이 발생해 부정한 이익을 발생시킵니다.

Bunni 팀은 내부 감사 결과, 유사한 공격이 반복될 가능성을 발견하고 모든 스마트 계약 활동을 긴급 중단했습니다. 이는 추가 손실을 방지하기 위한 예방 조치로, 사용자 자산이 의도적으로 동결된 것은 아니라고 밝혔습니다.

스마트 계약의 코드는 보안 감사와 철저한 검증을 통해 승인되지만, 예기치 못한 취약점이 있을 수 있으며 이는 주기적인 모니터링으로 관리해야 합니다.
긴급 중단 조치는 DEX에서 비슷한 해킹 사건이 발생했을 때 자주 사용되는 프로토콜 대응 방법으로, Uniswap과 같은 플랫폼에서도 유사한 조치가 과거에 이루어졌습니다.

블록체인 분석 기업들은 해킹된 자산의 이동을 추적하고 있지만, 자산이 다크 웹 거래소 및 프라이버시 중심 프로토콜로 이동되어 회수가 어려운 상황입니다. 프라이버시 코인과 믹서의 익명성 계층이 자산의 최종 행방을 추적하는 데 한계를 주고 있습니다.

Elliptic과 Chainalysis 등의 블록체인 분석 기업들은 정교한 알고리즘을 사용하여 자산의 이동을 추적하고, 의심스러운 거래 패턴을 식별하는 데 노력하고 있습니다.
바이낸스와 같은 주요 거래소는 해킹 자산이 이전되려는 시도를 차단하기 위해 지속적으로 협력하며, 일부 자산의 회수에 성공한 전례가 있습니다.

이번 사건은 탈중앙화 금융(DeFi) 생태계의 보안 위험을 다시금 부각시켰습니다. 급속히 배포되는 새로운 금융 인프라가 충분한 보안 검증 없이 운영될 때 발생할 수 있는 위험성을 보여주고 있습니다.

DeFi 프로젝트는 일반적으로 더 빠른 시장 출시를 위해 스마트 계약에 대한 충분한 감사를 건너뛰는 경향이 있으며, 이는 해커들에게 취약점을 제공할 수 있습니다.
적절한 보안 조치를 마련한 프로젝트는 더 긴 운영 기간 동안 안전한 서비스를 제공할 수 있고, 이는 프로젝트의 신뢰성과 사용자 보호에 중요한 영향을 미칩니다.

Bunni는 서비스 재개 일정에 대해 아직 발표하지 않았으며, 완전한 보안 패치가 구현되고 철저히 테스트될 때까지 스마트 계약 일시 중단은 계속될 예정입니다. 프로토콜은 사용자들에게 지갑을 모니터링하고 의심스러운 활동을 보고할 것을 권장하고 있습니다.

보안 패치는 일반적으로 코드 최적화 및 기존 취약점에 대한 수정 작업을 포함하며, 이 과정에서 외부 보안 전문가의 감사가 이루어집니다.
사용자들에게 모니터링을 권고하는 것은 실시간 경고 시스템 및 의심스러운 거래에 대한 즉각적인 보고 체계 구축을 통해 더 큰 손실을 막으려는 노력의 일환입니다.