Bunni, 해킹으로 약 840만 달러 손실

[Bunni, 해킹으로 약 840만 달러 손실] 유니스왑 V4의 훅(Hook) 기능을 기반으로 운영되는 DEX Bunni가 해킹 공격을 받아 약 840만 달러 상당의 고객 자금이 유출되었습니다. 이번 공격의 대상이 된 풀은 이더리움 메인넷의 USDT/USDC 페어와 유니체인의 ETH/weETH 페어로, 두 풀 모두 Bunni 훅이 설치된 풀이었습니다. Bunni는 유니스왑 V4 위에서 자체적으로 커스텀 커브 로직을 구현했으며, 이를 LDF(Liquidity Density Function)이라고 부릅니다. LDF는 트랜잭션당 가스비를 일정하게 유지하면서도 효율적인 유동성 배치와 스왑을 가능하게 하는 함수입니다. 유니스왑 V4의 훅 기능은 기존 스왑 로직에 완전히 사용자 정의 로직을 덧붙일 수 있도록 설계되어 있으며, Bunni는 이 훅을 활용해 LDF 기능을 구현했습니다. 공격자는 해당 로직에서 특정 스왑 규모에서만 발생하는 정밀도(precision) 버그를 발견했고, 이를 통해 Bunni 훅이 유동성을 잘못 계산하도록 만들었습니다. 이 과정을 반복해 결국 풀 내 자금을 대거 탈취할 수 있었다고 하네요. 이번 해킹은 Uniswap V4 자체의 문제가 아니라, 오직 Bunni 훅 로직의 결함에서 비롯된 것입니다(즉, Uniswap 내 다른 풀은 안전합니다). 2023년 KyberSwap 해킹 사례처럼, 복잡한 AMM 로직 계산 과정에서 발생하는 작은 엣지 케이스를 교묘히 노린 공격으로 볼 수 있겠네요. 사용자 입장에서 언제나 리스크를 염두에 두고, 자산을 분산해 관리하는 습관이 중요하다고 느껴집니다. 출처