
헤데라 기반 본조 렌드, 수프라 오라클 취약점으로 900만 달러 피해... 보안 경보 발령
2026년 7월 11일, 헤데라 생태계의 대출 프로토콜 본조 렌드가 수프라 오라클 검증기 취약점을 악용한 공격으로 900만 달러의 손실을 입었다.
2026년 7월 11일, 헤데라(Hedera) 네트워크 기반의 대출 프로토콜인 본조 렌드(Bonzo Lend)에서 약 900만 달러 규모의 자산이 유출되는 보안 사고가 발생했다. 이번 공격은 프로토콜이 사용하는 수프라(Supra) 온체인 오라클 검증기의 특정 결함을 겨냥한 것으로 확인되었다. 신원 미상의 공격자는 담보 가치를 인위적으로 부풀려 프로토콜 내 유동성을 고갈시켰으며, 이는 헤데라 커뮤니티에 큰 충격을 주고 있다.
이번 사고는 2026년 7월 11일 오전(UTC 기준)에 처음 발견되었으며, 헤데라 생태계 내에서 발생한 역대 최대 규모의 보안 침해 사례 중 하나로 기록될 전망이다. 공격자는 오라클 시스템의 허점을 이용해 단시간 내에 900만 달러에 달하는 자금을 탈취하는 데 성공했다. 본조 렌드 팀은 즉각적인 조사를 통해 이번 사태가 외부 공격자에 의한 계획적인 오라클 조작임을 확인했다.
공격자는 SAUCE 토큰을 담보로 활용했으며, 수프라 오라클의 검증 오류를 틈타 해당 자산의 가치를 비정상적으로 높게 책정하여 대출을 실행했다.
공격자는 SAUCE 토큰을 담보로 입금한 뒤, 오라클 데이터를 조작하여 해당 토큰의 시장 가격보다 훨씬 높은 가치를 인정받았다. 이렇게 부풀려진 담보 가치를 바탕으로 프로토콜에서 제공하는 다른 우량 자산들을 과도하게 대출받는 방식을 취했다. 결과적으로 본조 렌드의 유동성 풀은 텅 비게 되었고, 일반 사용자들의 자산 인출이 일시적으로 중단되는 사태에 이르렀다.
수프라 오라클 검증기의 기술적 결함
이번 익스플로잇의 핵심 원인은 수프라(Supra) 온체인 오라클 검증기(Verifier)에 존재했던 기술적 취약점으로 지목된다. 해당 검증기는 외부에서 유입되는 가격 데이터를 정확하게 검증하지 못해, 공격자가 조작된 가격 정보를 주입할 수 있는 통로를 제공했다. 오라클은 스마트 컨트랙트에 외부 시장 정보를 전달하는 핵심 인프라임에도 불구하고, 이번 사례에서는 오히려 보안의 가장 취약한 고리가 되었다.
- 수프라 온체인 검증기의 가격 데이터 유효성 검사 실패
- 실시간 시장 가격과 오라클 보고 가격 간의 불일치 발생
- 조작된 데이터를 기반으로 한 비정상적 담보 가치 산정 및 대출 실행
사고 발생 직전까지 헤데라의 네이티브 토큰인 HBAR은 비교적 안정적인 흐름을 유지하고 있었다. 2026년 7월 6일부터 7월 9일까지 HBAR 가격은 약 0.069달러에서 0.073달러 사이의 박스권에서 거래되었다. 특히 7월 7일에는 거래량이 약 5,990만 달러까지 치솟으며 일시적인 활기를 띠기도 했으나, 전반적인 시장 변동성은 낮은 수준을 유지하며 안정적인 생태계 지표를 보여주었다.
일반적으로 디파이(DeFi) 영역에서의 오라클 조작은 유동성이 낮은 풀을 겨냥한 대규모 거래나 플래시 론(Flash Loan)을 통해 이루어진다. 공격자는 특정 자산의 가격을 일시적으로 왜곡시킨 뒤, 오라클이 이 왜곡된 가격을 프로토콜에 반영하도록 유도하여 차익을 챙긴다. 본조 렌드 사례 역시 이러한 전형적인 오라클 공격 기법의 변형으로 볼 수 있으며, 데이터 소스의 신뢰성과 검증 로직의 중요성을 다시 한번 일깨워준다.
본조 렌드 측은 사고 발생 직후 프로토콜 가동을 중단하고 피해 규모 파악 및 대응책 마련에 나섰다. 헤데라 커뮤니티 내에서는 이번 사고로 인해 생태계 전반의 신뢰도가 하락할 것을 우려하는 목소리가 높다. 특히 수프라 오라클을 사용하는 다른 프로젝트들 역시 잠재적인 위험에 노출되어 있을 가능성이 제기되면서, 네트워크 전반에 걸친 보안 점검의 필요성이 대두되고 있다.
이번 900만 달러 규모의 손실은 헤데라 네트워크 내 보안 표준을 강화해야 한다는 강력한 신호로 받아들여지고 있다. 향후 프로토콜들은 오라클 검증기에 대한 더욱 엄격한 보안 감사를 실시해야 하며, 단일 오라클에 의존하기보다 다중 오라클 시스템을 도입하여 리스크를 분산해야 할 것으로 보인다. 전문가들은 이번 사건이 헤데라 디파이 생태계가 한 단계 더 성숙해지기 위해 반드시 해결해야 할 보안 과제를 남겼다고 평가한다.
결론적으로 본조 렌드의 이번 보안 사고는 오라클 인프라의 취약성이 프로토콜 전체의 붕괴로 이어질 수 있음을 보여준 사례다. 피해 복구와 사용자 보상 방안이 논의되는 가운데, 헤데라 재단과 관련 프로젝트들의 향후 대응이 생태계 회복의 관건이 될 전망이다. 사용자들은 자산 예치 시 해당 프로토콜의 오라클 구조와 보안 감사 이력을 더욱 면밀히 검토할 필요가 있다.
.png)


본 콘텐츠는 정보 및 논평을 위한 것이며 투자 자문이 아닙니다.
기사에 대한 반응을 남겨보세요
다른 독자의 코멘트를 보고, 바로 의견을 남길 수 있습니다.