Bonk.fun 도메인 하이재킹: 프론트엔드 공격은 암호화폐 분야에서 가장 빠르게 성장하는 위협 벡터입니다

2026년 3월 12일, 매일 수십만 달러의 수수료를 처리하는 커뮤니티 주도 솔라나 런치패드가 순식간에 지갑을 털어가는 함정으로 변했습니다. 그리고 이를 구동하는 스마트 컨트랙트에는 전혀 손을 대지 않았습니다. Raydium과 BONK DAO가 지원하는 letsBONK 브랜드의 밈 코인 플랫폼인 Bonk.fun은 도메인을 탈취당했고, 프론트엔드에 가짜 "서비스 약관" 서명 프롬프트가 삽입되었으며, 팀이 침해 사실을 인지하기 전까지 약 35개의 지갑이 비워졌습니다. 공격자들에게는 제로데이가 필요하지 않았습니다. 그들에게 필요한 것은 호스트 이름뿐이었습니다.

한 시간 동안 벌어진 이 혼란은 2023년부터 DeFi 보안팀들이 속삭여 왔고, 14억 달러 규모의 Bybit 해킹 사건 이후 외쳐온 사실을 잘 보여줍니다. 이제 솔리디티(Solidity) 코드는 더 이상 쉬운 목표가 아닙니다. 프론트엔드가 타겟입니다. 그리고 업계의 집단적 사각지대로 인해 역사상 그 어떤 스마트 컨트랙트 익스플로잇보다 더 많은 비용이 사용자들에게 전가되고 있습니다.

프론트엔드 공격의 구조

Bonk.fun 사건이 단순한 경제적 손실을 넘어 중요한 이유를 이해하려면, 무엇이 공격받았고 무엇이 공격받지 않았는지를 알아야 합니다.

Bonk.fun의 스마트 컨트랙트, 즉 토큰을 발행하고 Raydium을 통해 유동성을 라우팅하는 온체인 로직은 사고 발생 내내 설계된 대로 정확하게 작동했습니다. 블록체인은 결코 거짓말을 하지 않았습니다. 거짓말을 한 것은 사용자 인터페이스였습니다.

공격자들은 등록 기관이나 네임서버 단계에서 침해된 자격 증명을 통해 팀의 도메인 계정 제어권을 획득한 것으로 보입니다. DNS를 장악한 그들은 bonk.fun이 자신의 서버를 가리키도록 하거나, 더 교묘하게 사용자가 이미 방문 중인 페이지에 악성 자바스크립트를 삽입할 수 있었습니다. 공격 방식은 정교했습니다. 방문자에게 사이트를 계속 사용하기 위해 일반적인 지갑 메시지에 서명하도록 요청하는 "서비스 약관" 배너를 띄웠습니다. 서명 요청은 평범해 보였습니다. 지갑 프롬프트가 떴고, 사용자들은 승인을 클릭했습니다.

하지만 그 서명은 약관 동의가 아니었습니다. 그것은 공격자에게 사용자의 토큰에 대한 무제한 지출 승인을 부여하는 eth_signTypedData 허가(Permit)였습니다. 서명이 완료되자마자 탈취용 컨트랙트가 단일 트랜잭션으로 지갑을 비웠습니다. 브라우저 보안 업체들이 해당 도메인을 차단할 무렵, 약 35개의 지갑이 이미 사라졌습니다. 팀의 신속한 탐지 덕분에 피해를 Bonk 팀의 설명대로 "최소화"할 수 있었지만, 공격 벡터 자체는 파괴적인 위력을 입증했습니다.

최근 대규모 보안 사고의 100%가 프론트엔드를 겨냥하는 이유

Bonk.fun은 이례적인 사례가 아닙니다. 이는 2025~2026년에 걸쳐 나타난 매우 일관된 패턴의 최신 사례일 뿐입니다.

• 2025년 2월 — Bybit Safe{Wallet} 침해. 북한의 라자루스 그룹(Lazarus Group)이 Safe 개발자의 macOS 워크스테이션을 사회공학적으로 해킹하고, AWS 자격 증명을 훔쳐 Safe{Wallet} UI에 악성 자바스크립트를 삽입했습니다. 이 스크립트는 Bybit의 콜드 월렛 서명자가 트랜잭션을 승인할 때만 활성화되었습니다. 피해액: 14억 달러 상당의 ETH — 역대 최대 규모의 암호화폐 절도 사건으로 기록되었습니다.
• 2024–2025년 — KuCoin DNS 하이재킹. 공격자들이 로그인 자격 증명을 가로채고 자금을 탈취하여 약 5,200만 달러의 손실을 입혔습니다.
• 2025년 12월 — Trust Wallet 크롬 확장 프로그램. 공식 확장 프로그램 스토어를 통해 배포된 악성 업데이트가 지갑 데이터를 탈취했고, 삭제되기 전까지 수백 명의 사용자로부터 약 700만 달러를 빼앗았습니다.
• 2023년 — Curve Finance DNS 공격. Curve 도메인의 네임서버 침해로 인해 curve.fi가 악성 프론트엔드로 리다이렉트되었습니다. 백엔드는 안전했음에도 불구하고 승인을 유도하여 약 575,000달러가 탈취되었습니다.
• 2021년 — BadgerDAO Cloudflare 익스플로잇. Cloudflare Workers API 키 유출로 인해 공격자가 Badger 프론트엔드에 승인 수집 스크립트를 삽입했고, 약 1억 2,000만 달러를 훔쳤습니다.

이 모든 사건은 스마트 컨트랙트 보안을 우회했습니다. 모든 사고가 DNS 등록 기관, CDN 제공업체, 확장 프로그램 스토어, 개발자 엔드포인트, 빌드 파이프라인 등 암호화폐 업계가 직접 통제하지 않는 요소를 악용했습니다. 이러한 패턴은 Web2 인프라가 Web3 보안의 최저선이며, 그 바닥에는 수많은 구멍이 뚫려 있다는 사실을 보여줍니다.

데이터: 지갑 탈취기는 감소했지만, 공격 표면은 확대되었습니다

언뜻 보기에 수치는 안심할 수 있는 이야기를 해주는 것 같습니다. Chainalysis와 탈취기 생태계 추적기에 따르면, 2025년 전체 지갑 탈취기(Wallet-drainer) 피싱 피해액은 8,385만 달러로, 2024년 약 4억 9,400만 달러에서 83% 감소했습니다. 피해자 수도 약 106,000명으로 68% 감소했습니다.

하지만 시야를 넓혀보면 다른 그림이 나타납니다.

• 2025년 개인 지갑 해킹 피해액은 7억 1,300만 달러에 달해, 개인 지갑이 암호화폐에서 가장 큰 단일 손실 카테고리가 되었습니다.
• Chainalysis, PeckShield, SlowMist의 통합 추정치에 따르면, 2025년 전체 Web3 손실액은 약 27.1억~29.4억 달러로, 2024년 20.1억 달러에서 증가했습니다.
• 100만 달러 이상의 사고 중 **허가(Permit) 기반 공격이 손실의 38%**를 차지했습니다. 이제 코드가 아닌 서명이 주요 탈취 수단이 되었습니다.
• EIP-7702 악성 서명은 이더리움의 Pectra 업그레이드 후 몇 주 만에 등장하여, 공격자가 단 한 번의 사용자 승인으로 여러 악성 행위를 묶어서 처리할 수 있게 했습니다. 2025년 8월의 두 사례만으로도 254만 달러의 피해가 발생했습니다.

지갑 탈취기 경제가 위축된 것은 방어 기술이 향상되었기 때문이 아닙니다. 공격자들이 타겟을 상향 조정했기 때문입니다. 소액을 훔치는 일반 탈취기에서 가치가 높은 수탁 및 기관 타겟을 겨냥한 국가 지원 수준의 프론트엔드 침해로 옮겨간 것입니다. Bybit 해킹 사건 하나만으로도 2025년 전 세계 탈취기 피해 합계의 17배에 달합니다.

DNS, CDN 그리고 크립토가 통제하지 못하는 신뢰 스택

프로토콜 팀이 프론트엔드를 강화하려 할 때 마주하는 불편한 진실은, 보안 공격 표면의 대부분이 그들의 통제권 밖에 있다는 사실입니다.

전형적인 디파이(DeFi) 배포는 최소 7개 계층의 Web2 인프라와 맞닿아 있습니다:

1. 도메인 등록 기관 (GoDaddy, Namecheap, Gandi) — 도메인 소유권에 대한 최종 권한을 가집니다.
2. 권한 있는 DNS 제공업체 (Cloudflare, Route53, NS1) — 브라우저에 도메인이 어디를 가리키는지 알려주는 시스템입니다.
3. CDN 및 에지 네트워크 (Cloudflare, Fastly, Akamai) — 실제 HTML과 JavaScript를 서빙하는 서버입니다.
4. 호스팅 제공업체 (AWS, GCP, Vercel) — 컴파일된 프론트엔드가 상주하는 곳입니다.
5. 빌드 파이프라인 (GitHub Actions, Vercel, Netlify) — 아티팩트를 서명하고 배포합니다.
6. 서드파티 스크립트 (애널리틱스, 지갑 커넥터, 모니터링) — 팀이 직접 작성하지 않았지만 함께 전송되는 코드입니다.
7. 브라우저 확장 프로그램 스토어 (Chrome 웹 스토어, Firefox 부가 기능) — 지갑 자체가 전달되는 채널입니다.

공격자는 이 중 단 하나만 탈취해도 사용자 화면에 서명 요청을 삽입할 수 있습니다. 1,000억 달러의 TVL을 방어하는 프로토콜들이 구조적으로 7개의 서로 다른 벤더가 보유한 가장 취약한 인증 정보에 의존하고 있는 셈입니다. 이들 벤더 대부분은 디파이 팀의 계정을 강아지 미용 블로그 계정과 동일하게 취급합니다.

NIST는 마침내 2026년 3월, 2013년 문서를 대체하는 SP 800-81r3를 통해 DNS 보안 가이드를 업데이트했습니다. 이는 10년 만에 처음으로 이루어진 실질적인 연방정부 차원의 갱신으로, DNSSEC에서 RSA 대신 ECDSA와 Ed25519 사용을 권장합니다. 이는 유용하지만, 주요 도메인 등록 기관의 DNSSEC 도입률은 여전히 낮아서 대부분의 크립토 프로토콜이 이를 안정적으로 활성화할 수 없는 실정입니다.

크립토 업계에 여전히 부재한 '보안 프론트엔드 표준'

스마트 컨트랙트 보안은 형식 검증, Trail of Bits와 OpenZeppelin의 감사, Immunefi의 버그 바운티, Hypernative와 Forta의 온체인 모니터링 등 성숙도 곡선을 그려왔습니다. 2026년의 자금력이 풍부한 프로토콜은 온체인 코드 주변에 머클 트리 형태의 방어 체계를 구축하고 있다고 자신 있게 말할 수 있습니다.

하지만 프론트엔드에는 그런 것이 전혀 없습니다. 팀의 도메인 등록 기관 설정에 대한 감사 보고서 같은 것은 존재하지 않습니다. 도메인 이름 변경에 대한 멀티시그(다중 서명) 업계 표준도 없습니다. Cloudflare 대시보드에 대한 SOC 2 인증도, 사용자가 실행 중인 JavaScript가 팀이 배포한 버전과 일치한다는 온체인 증명도 없습니다.

몇 가지 유망한 패턴들이 나타나고 있기는 합니다:

• 하위 리소스 무결성 (SRI) 해시: 서드파티 스크립트를 알려진 바이트로 고정합니다.
• 콘텐츠 보안 정책 (CSP) 헤더: 인라인 스크립트 주입을 방지합니다.
• 서명된 프론트엔드 매니페스트: 온체인에 게시하여 지갑이 실행 중인 코드를 검증할 수 있게 합니다.
• ENS 확인을 통한 IPFS 호스팅 프론트엔드: Uniswap 등 점점 더 많은 DEX들이 DNS 의존도를 낮추기 위해 사용하고 있습니다.
• 지갑 측 트랜잭션 시뮬레이션 (Rabby, MetaMask Snaps, Blowfish): 사용자가 서명하기 전에 서명이 실제로 수행하는 작업을 보여줍니다.
• 하드웨어 키로 보호되는 등록 기관 계정, 중복 DNS 제공업체, 제한된 빌드 파이프라인: 2026년 DomainSure와 Sherlock 가이드에서 기본 요건으로 규정하는 운영 위생 수칙들입니다.

이 중 어느 것도 표준화되지 않았으며, 의무 사항도 아닙니다. 그리고 대부분의 프로토콜, 특히 밈 코인 거래가 활발하게 일어나는 소규모 런치패드들은 이러한 보안 조치 없이 서비스를 운영합니다.

Bonk.fun 사례가 향후 12개월에 대해 시사하는 점

Bonk.fun은 수십억 달러의 손실이 발생하지 않았기에 오히려 유용한 사례 연구가 됩니다. 팀은 하이재킹을 빠르게 감지했고, 손실은 수천 명이 아닌 수십 명의 사용자로 제한되었습니다. 도메인은 몇 시간 만에 복구되었습니다.

하지만 그 이면의 경제적 논리는 폭발적입니다. letsBONK.fun의 수익은 2026년 초에 600% 이상 급증했으며, 일일 수수료는 최고 352,793달러에 달했습니다. 이 플랫폼은 솔라나 밈 생태계에서 중요한 유동성 라우터가 되었고, 전 세계의 모든 공격자는 이제 이 플랫폼의 프론트엔드가 가장 뚫기 쉬운 경로라는 점을 알고 있습니다. 다음 하이재킹은 더 평온한 시기에 더 큰 플랫폼을 겨냥할 것이며, 그 공격이 성공할 때 3월 12일의 '지갑 35개 피해'라는 기록은 아주 미미해 보일 것입니다.

업계의 세 가지 대응 방향은 이미 가시화되고 있습니다:

1. 경계 강화 — 더 많은 하드웨어 키, 더 많은 DNSSEC, 서명된 매니페스트, 중복 DNS 도입. 가장 느린 경로입니다.
2. 지갑 측 방어 — 트랜잭션 시뮬레이션, 블라인드 서명 경고, 사용자가 서명하기 전 유해한 컨트랙트를 식별하는 드레이너 데이터베이스. 빠른 경로이지만, 각기 다르게 구현하는 지갑 벤더들에게 전적으로 의존해야 합니다.
3. 아키텍처 변경 — IPFS + ENS, 완전한 온체인 프론트엔드, 무제한 권한 부여 서명을 거부하는 계정 추상화 정책. 유일하게 지속 가능한 경로이지만, 구현 속도가 가장 느립니다.

불편한 현실은 현재 HTTPS 프론트엔드를 제공하는 모든 프로토콜이 구조적으로 노출되어 있으며, 아무리 많은 감사 예산을 쏟아부어도 이를 해결할 수 없다는 것입니다. 업계가 프론트엔드에 대한 스마트 컨트랙트 모범 사례에 상응하는 기준에 합의할 때까지, Bonk.fun 하이재킹 사례는 더 큰 목표물을 대상으로 수년간 반복될 것입니다.

인프라는 곧 보안의 선택입니다

프론트엔드 공격은 Web3에 대한 불편한 진실을 폭로했습니다. 사용자가 단 하나의 DNS 레코드 변조로 모든 것을 잃을 수 있다면 온체인에서의 탈중앙화는 큰 의미가 없습니다. 다음 공격의 물결에서 살아남을 프로토콜은 도메인 등록 기관, CDN, 확장 프로그램 채널, RPC 엔드포인트 등 모든 Web2 의존성을 단순히 비용 항목이 아닌 위협 모델의 일부로 취급하는 프로토콜이 될 것입니다.

BlockEden.xyz는 Sui, Aptos, Ethereum, Solana 등 12개 이상의 체인에서 RPC 및 인덱서 인프라를 운영합니다. 중복 엔드포인트, DDoS 보호, 기관급 팀이 백엔드를 공격 표면에서 제외하는 데 필요한 운영 제어 기능을 통해 강화되었습니다. API 마켓플레이스를 탐색하여 적대적인 웹 환경을 견디도록 설계된 인프라 위에서 서비스를 구축하세요.