해커들이 특정 알트코인의 가격을 조작하고 있습니다

헤데라 생태계 최대 대출 프로토콜인 본조 렌드(Bonzo Lend)는 제3자 가격 오라클의 취약점 악용으로 약 905만 달러의 손실을 입었다고 발표했습니다. 이번 공격으로 본조 렌드와 본조 포인트(Bonzo Points) 서비스가 일시적으로 중단되었습니다.

본조 파이낸스 랩이 본조 파이낸스 재단과 협력하여 발표한 사건 보고서에 따르면, 해당 공격은 2026년 7월 11일 UTC 기준 약 00시 51분(UTC+3 기준 03시 51분)에 발생했습니다. 공격자는 조작된 SAUCE 가격을 본조 렌드에서 사용하는 수프라 오라클 시스템에 전송하여 적은 담보로 실제 SAUCE 가치보다 훨씬 많은 금액을 대출받는 데 성공했습니다.

본조는 보안 취약점이 자사의 스마트 계약이나 대출 프로토콜 설계에서 비롯된 것이 아니라고 주장했습니다. 회사는 문제가 본조 렌드가 사용하는 제3자 온체인 가격 오라클의 서명 검증 메커니즘에 있다고 밝혔습니다.

보고서에 따르면 공격자가 사용한 첫 번째 계정은 헤데라 메인넷의 오라클 온디맨드 가격 업데이트 계약에 조작된 SAUCE 가격(HBAR)을 전송했습니다. 실제 SAUCE 시장 가격은 약 0.2 HBAR이지만, 공격자가 전송한 값은 실제 가격보다 소수점 이하 약 12자리까지 높게 표시되었습니다.

조작된 가격이 온체인에 기록된 지 불과 8초 만에 공격자는 소량의 SAUCE 투자금을 담보로 사용했습니다. 오라클 데이터로 인해 프로토콜은 이 담보금의 가치를 비정상적으로 높게 계산했고, 그 결과 공격자는 예치한 담보금의 실제 가치를 훨씬 초과하는 자산을 빌릴 수 있었습니다.

본조의 분석에 따르면, 조작된 가격 업데이트는 수프라의 온체인 검증자가 유효한 서명 없이도 증명을 확인했기 때문에 승인되었습니다. 본조 팀은 공격자가 유효한 오라클 서명을 위조하지 않았으며, SAUCE의 실제 시장 가격에는 변화가 없었다고 덧붙였습니다.

해당 프로토콜에 따르면 잘못된 가격은 본조 렌드에 도달하기 전에 오라클의 검증 계층에서 거부되었어야 했지만, 검증 시스템이 그렇게 하지 못했습니다.

비정상적인 가격 데이터가 활성화된 동안 또 다른 계정이 프로토콜에서 추가 자산을 차용한 사실이 밝혀졌습니다. 본조는 해당 계정이 나중에 팀에 연락하여 자신을 화이트햇 보안 연구원이라고 밝히고 자금을 반환할 의사를 표명했다고 밝혔습니다. 프로토콜은 이 거래를 복구 절차의 일부로 간주하고 있습니다.

이번 공격으로 인해 본조 렌드(Bonzo Lend)와 본조 포인트(Bonzo Points) 서비스만 영향을 받은 것으로 알려졌습니다. 본조 볼트(Bonzo Vaults), 본조 브리지(Bonzo Bridge), 그리고 본조(BONZO)와 엑스본조(XBONZO)의 단방향 스테이킹 및 언스테이킹 서비스는 정상적으로 운영되었습니다.

본조(BONZO) 가격 하락세를 보여주는 그래프.

본조 렌드(Bonzo Lend)의 대출 풀은 검토 및 복구 작업이 진행되는 동안 일시적으로 중단되었습니다. 본조 파이낸스 랩(Bonzo Finance Labs)과 본조 파이낸스 재단(Bonzo Finance Foundation)은 프로토콜 재개 조건과 유동성 공급자가 자산을 인출하는 절차를 검토 중이라고 발표했습니다.

해당 팀은 사용자 보상, 자금 회수 및 프로토콜 재활성화에 대한 자세한 내용은 추후 별도 공지를 통해 공유할 것이라고 밝혔습니다.

*본 내용은 투자 조언이 아닙니다.