버니 DEX 침해로 드러난 탈중앙화 금융의 보안 결함

탈중앙화 거래소 번니가 이더리움 블록체인에서 230만 달러 규모의 익스플로잇 공격을 당하면서 탈중앙화 금융 프로토콜의 지속적인 취약점이 드러났고, 스마트 콘트랙트 보안에 대한 우려가 다시금 강조되고 있습니다.

블록체인 보안 회사 블록섹 팔콘이 탐지한 이번 침해는 화요일에 발생했으며, 번니의 이더리움 기반 스마트 컨트랙트에 대한 무단 액세스와 관련이 있습니다.

공격자들이 사용한 정확한 방법은 아직 조사 중이지만, 이더스캔 데이터에 따르면 도난당한 자금은 133만 달러의 USDC와 104만 달러의 USDt를 보유한 주소로 유출된 것으로 나타났습니다.

이 사건에 대응하여 번니는 지원되는 네트워크의 모든 스마트 컨트랙트 기능을 즉시 일시 중지했으며, X를 통해 전체 조사가 진행 중이라고 발표했습니다.

이 익스플로잇이 발생한 후, 오일러 랩의 공동 창립자이자 CEO인 마이클 벤틀리는 사용자들에게 버니에서 자금을 즉시 제거할 것을 권고하며, 버니가 오일러와 자금을 재조정하는 동안에도 오일러는 영향을 받지 않고 안전하게 유지된다고 설명했습니다.

이 프로토콜은 사용자 안전을 최우선 과제로 삼고 더 많은 정보가 입수되는 대로 추가 업데이트를 제공하겠다고 약속했습니다.

버니가 해킹에 빠진 방법

아직 조사 결과가 확정되지는 않았지만, 초기 분석에서는 이미 버니를 해커에게 취약하게 만드는 몇 가지 결함이 발견되었습니다.

번니는 유니스왑 v4를 기반으로 구축되었기 때문에 유니스왑의 기본 로직 대신 유동성 분배 함수라는 맞춤형 메커니즘을 사용합니다. 이 메커니즘을 통해 번니는 가격대별 유동성 배분을 최적화하여 유동성 공급자의 수익률을 높일 수 있습니다.

그러나 카이버네트워크의 공동 설립자인 빅터 트란은 이러한 종류의 시스템은 공격자가 특정 크기의 거래를 실행하여 잘못된 리밸런싱 로직을 트리거하는 방식으로 LDF 곡선을 조작할 수 있다고 지적했습니다.

Tran은 다음과 같이 가능한 시나리오를 설명했습니다.

익스플로잇은 매우 특정한 규모의 거래를 통해 이 LDF를 조작할 수 있다는 사실을 알아냈습니다. 이렇게 신중하게 선택한 금액으로 인해 리밸런싱 계산이 중단되어 각 LP가 소유해야 하는 주식의 양에 대한 잘못된 결과가 나왔습니다;

DEX 보안의 거대한 허점?

버니 덱스의 가장 큰 약점 중 하나는 플랫폼이 일상적인 기능을 스마트 콘트랙트 자동화에 광범위하게 의존한다는 점입니다.

탈중앙 금융은 스마트 컨트랙트에 대한 의존도가 높기 때문에 강력한 보안 대책이 끊임없이 제기되고 있습니다. 블록체인 보안 감사기관 CertiK의 보고서에 따르면 온체인 코드, 기본 블록체인 인프라의 취약성, 심지어 프로그래밍 언어의 결함으로 인해 2023년에만 디파이 프로토콜에서 6억 8,600만 달러 이상의 손실이 발생했습니다.

파생상품 거래소인 에이펙스의 전문가들은 사용자가 평판이 좋은 회사의 감사를 거친 계약과만 거래하고 승인 권한을 제한하여 지갑을 소모하는 위험을 줄일 것을 권장합니다.

디파이가 계속 확장되고 사용자와 기회주의적 공격자 모두를 끌어들이는 상황에서 이러한 사전 예방적 조치는 매우 중요합니다.

탈중앙화 금융 보안의 허점 보완하기

번니 침해 사건은 디파이 혁신이 가속화되는 만큼 보안 표준도 빠르게 진화해야 한다는 점을 극명하게 보여줍니다.

제 생각에 업계의 장기적인 성공은 엄격한 코드 감사, 투명한 공개, 사용자 보호에 대한 끊임없는 노력에 달려 있습니다.

탈중앙 금융 프로젝트의 상호 연결성이 높아짐에 따라 하나의 취약점이 연쇄적인 결과를 초래할 수 있으므로, 이 분야의 신뢰와 공신력을 유지하기 위해 지속적인 보안 업그레이드가 시급합니다.