가격 오라클의 결함으로 인해 헤데라(Hedera)의 최대 대출 프로토콜이 9백만 달러 이상을 잃었습니다. 이 취약점은 내내 서명 검증 컨트랙트 안에 숨어 있었습니다. 이번 Bonzo 대출 익스플로잇은 헤데라 디파이(DeFi) 생태계 전반에 충격을 주며, 네트워크의 상당한 규모의 예치 자산 규모(TVL)를 증발시켰고, 탈중앙화 프로토콜이 의존하는 외부 데이터 피드를 어떻게 검증해야 하는지에 대한 불편한 질문을 던지고 있습니다.
Summary
핵심 요약
- Bonzo Lend는 헤데라에서 사용된 서드파티 Supra 오라클 컨트랙트의 결함을 공격자가 악용하면서 약 905만 달러를 잃었습니다.
- 공격자는 SAUCE 토큰 가격을 조작하기 위해 허위 가격 업데이트를 제출했고, 그 후 예치 담보 가치보다 훨씬 큰 규모의 자산을 대출받았습니다.
- 헤데라의 예치 자산 규모(TVL)는 24시간 동안 거의 40% 하락했으며, Bonzo 자체 TVL은 77% 급락했습니다.
- 추가 손실을 막기 위해 Bonzo 프로토콜은 일시 중단되었습니다.
- Bonzo Labs와 Bonzo Finance Foundation은 현재 복구 및 피해 완화 작업을 적극적으로 조율하고 있습니다.
오라클 익스플로잇으로 Bonzo Lend에 905만 달러 손실 발생
헤데라 네트워크에서 운영되는 탈중앙화 대출 프로토콜 Bonzo Lend는, 공격자가 서드파티 Supra 오라클 컨트랙트의 치명적인 결함을 발견해 악용한 뒤 약 905만 달러의 손실이 발생했다고 밝혔습니다. 이번 공격은 무차별 대입(brute-force) 방식의 침해가 아니라, Bonzo의 대출 로직이 담보 가치를 평가하는 데 의존하던 가격 데이터를 정밀하게 조작한 것이었습니다.
공개된 세부 내용에 따르면, 공격자는 상대적으로 가치가 낮은 자산인 SAUCE 토큰 250개를 예치한 뒤, 해당 토큰의 HBAR 기준 가치를 극적으로 부풀리는 조작된 가격 업데이트를 제출했습니다. 장부상 담보 가치가 인위적으로 높아지자, 공격자는 실제 예치 가치보다 훨씬 큰 규모의 자산을 대출받을 수 있었습니다. 조작이 감지되었을 때는 이미 피해가 발생한 뒤였습니다.
재정적 여파는 Bonzo 자체를 훨씬 넘어섰습니다. 헤데라의 예치 자산 규모(TVL)는 익스플로잇이 공개된 지 24시간 이내에 거의 40% 하락했습니다. Bonzo의 TVL은 더 큰 타격을 받아 77%나 떨어졌는데, 이는 단 하나의 오라클 취약점이 프로토콜 전체 예치자 기반을 얼마나 취약하게 만들 수 있는지를 잘 보여줍니다.
왜 오라클 공격이 대출 프로토콜에 치명적인가
가격 오라클은 모든 탈중앙화 대출 플랫폼의 핵심에 자리합니다. 오라클은 특정 자산의 가치를 프로토콜에 알려주며, 이를 바탕으로 차입자가 담보를 기준으로 얼마나 대출받을 수 있는지가 결정됩니다. 이 가격 피드가 잠시라도 손상되면, 전체 안전 장치가 무너집니다. 이번 사례에서 공격자는 Bonzo의 자체 코드 자체를 뚫을 필요가 없었습니다. 잘못된 데이터를 주입하기만 하면 되었고, 이후 프로토콜의 로직이 나머지 일을 처리했습니다.
이 때문에 오라클 익스플로잇은 방어하기가 특히 어렵습니다. 취약점은 Bonzo의 자체 스마트 컨트랙트 내부가 아니라, Supra 오라클의 서명 검증 과정 — Bonzo의 대출 메커니즘이 전적으로 신뢰하던 서드파티 의존성 — 안에 있었습니다. 프로토콜에 자금을 예치한 사용자들에게, 그 신뢰는 결국 가장 약한 고리로 드러났습니다.
기술적 원인: Supra의 서명 검증 결함
공격의 근본 원인은 Supra 오라클 컨트랙트가 가격 업데이트 서명을 검증하는 방식의 결함으로 거슬러 올라갑니다. 서명 검증은 프로토콜이 가격 업데이트를 수용하고 실행하기 전에, 해당 업데이트가 진짜인지 확인하는 메커니즘입니다. 이 검증이 실패하거나 우회될 수 있게 되면, 공격자는 프로토콜이 의심 없이 받아들이는 임의의 가격 데이터를 밀어 넣을 수 있는 권한을 얻게 됩니다.
서명 검증 결함이 공격을 어떻게 가능하게 했는가
이번 사례에서 이 결함은 공격자가 SAUCE 토큰에 대한 조작된 가격 업데이트를 제출해도 검증 과정에서 이를 잡아내지 못하도록 만들었습니다. 가짜 가격이 한 번 수용되자, 공격자의 저가 담보는 실제보다 훨씬 높은 가치로 취급되었습니다. 그 결과 대출 메커니즘은 실제 담보로는 결코 뒷받침될 수 없는 규모의 자산 인출을 허용했습니다.
이 공격의 “우아함”은, 굳이 그렇게 부를 수 있다면, 그 단순함에 있습니다. 정교한 컨트랙트 레벨 익스플로잇은 필요하지 않았습니다. 공격자는 오라클의 서명 검증 취약점을 이해하고, 이를 악용하는 트랜잭션을 구성하기만 하면 됐습니다. 많은 프로토콜이 의존하는 인프라 레이어 내부에 이런 유형의 취약점이 존재한다는 사실은, Bonzo를 훨씬 넘어서는 광범위한 함의를 가집니다.
Bonzo 프로토콜의 대응 및 복구 조율
추가 손실 방지를 위한 프로토콜 일시 중단
익스플로잇 직후 Bonzo 프로토콜은 일시 중단되었습니다. 운영 중단은 디파이에서 표준적인 비상 대응으로, 팀이 조사를 진행하는 동안 추가 대출, 출금, 기타 상호작용을 막아 손실 확대를 차단합니다. 프로토콜에 여전히 자금을 예치한 사용자들에게 이 일시 중단은, 복구 작업을 통해 더 명확한 향후 계획이 마련될 때까지 자산이 동결된 상태로 남는다는 의미입니다.
Bonzo Labs와 Bonzo Finance Foundation 간의 조율
Bonzo Labs와 Bonzo Finance Foundation 모두 복구 작업을 적극적으로 진행하고 있으며, 피해 완화에 나서고 있다고 확인했습니다. 이중 구조의 대응은, 기술 팀뿐 아니라 프로젝트의 광범위한 거버넌스 구조가 모두 관여하고 있음을 의미하며, 피해 사용자들을 어떻게 — 그리고 어느 정도까지 — 보상할 수 있을지에 대한 의사결정 과정에서 중요할 수 있습니다.
실제 복구가 어떤 형태를 띨지는 아직 미지수입니다. 약 905만 달러 규모의 손실과, 크게 줄어든 것으로 보이는 TVL을 감안하면, 프로토콜은 구조적으로 어려운 상황에 놓여 있습니다. 이 정도 규모의 디파이 익스플로잇 복구는 보통 내부 재무(트레저리) 자금, 서드파티와의 협상, 수주 또는 수개월이 걸릴 수 있는 보상 계획 등을 조합해 진행됩니다. Bonzo가 사용자 신뢰를 어느 정도까지 회복할 수 있을지는, 이 과정의 투명성과 속도에 크게 달려 있습니다.
더 넓은 헤데라 디파이 생태계에 이번 사건은 오라클 보안이 주변적인 문제가 아니라, 인프라의 근간이라는 점을 상기시킵니다. 단 하나의 서드파티 컨트랙트에 있는 단 하나의 가격 피드가 손상되었을 뿐인데, 헤데라 최대 대출 프로토콜의 자금을 고갈시키고, 불과 몇 시간 만에 네트워크 전체의 신뢰를 흔들기에 충분했습니다.
FAQ
Bonzo Lend 프로토콜 익스플로잇의 원인은 무엇인가요?
Supra 오라클 컨트랙트의 서명 검증 결함으로 인해 공격자가 SAUCE 토큰 가격을 조작할 수 있었고, 이로써 Bonzo 대출 프로토콜에 허위 가격 데이터가 전달되었습니다.
이번 익스플로잇으로 Bonzo Lend는 얼마나 손실을 입었나요?
Bonzo Lend는 이번 오라클 익스플로잇으로 약 905만 달러의 손실을 입었습니다.
익스플로잇 이후 Bonzo Lend는 어떤 조치를 취했나요?
추가 손실을 막기 위해 Bonzo 프로토콜은 일시 중단되었으며, Bonzo Labs와 Bonzo Finance Foundation이 복구 및 피해 완화 작업을 조율하고 있습니다.
공격자는 오라클 익스플로잇을 통해 어떻게 이익을 얻었나요?
공격자는 가치가 낮은 SAUCE 토큰 250개를 예치한 뒤, 그 가치를 부풀리는 조작된 가격 업데이트를 제출했고, 이렇게 인위적으로 높아진 담보를 이용해 실제 예치 가치보다 훨씬 큰 규모의 자산을 대출받았습니다.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”Bonzo Lend 프로토콜 익스플로잇의 원인은 무엇인가요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Supra 오라클 컨트랙트의 서명 검증 결함으로 인해 공격자가 SAUCE 토큰 가격을 조작할 수 있었고, 이로써 Bonzo 대출 프로토콜에 허위 가격 데이터가 전달되었습니다.”}},{“@type”:”Question”,”name”:”이번 익스플로잇으로 Bonzo Lend는 얼마나 손실을 입었나요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Bonzo Lend는 이번 오라클 익스플로잇으로 약 905만 달러의 손실을 입었습니다.”}},{“@type”:”Question”,”name”:”익스플로잇 이후 Bonzo Lend는 어떤 조치를 취했나요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”추가 손실을 막기 위해 Bonzo 프로토콜은 일시 중단되었으며, Bonzo Labs와 Bonzo Finance Foundation이 복구 및 피해 완화 작업을 조율하고 있습니다.”}},{“@type”:”Question”,”name”:”공격자는 오라클 익스플로잇을 통해 어떻게 이익을 얻었나요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”공격자는 가치가 낮은 SAUCE 토큰 250개를 예치한 뒤, 그 가치를 부풀리는 조작된 가격 업데이트를 제출했고, 이렇게 인위적으로 높아진 담보를 이용해 실제 예치 가치보다 훨씬 큰 규모의 자산을 대출받았습니다.”}}]}
본 기사는 인공지능의 도움을 받아 제작되었으며, 편집팀의 검수를 거쳤습니다.

