솔라나 토큰 런치패드 본크닷펀 도메인 탈취…지갑 자산 노린 드레이너 심어졌다

솔라나(SOL) 생태계의 토큰 런치패드 본크닷펀(Bonk.fun)이 해킹으로 도메인을 탈취당해 ‘월렛 드레이너’(지갑 자산을 빼가는 악성 서명 유도 코드)가 심어지는 사고가 발생했다. 시장이 호황이든 침체든 반복되는 ‘프런트엔드 해킹’ 리스크가 다시 확인됐다는 평가가 나온다.

본크닷펀 도메인 탈취…“bonk.fun 접속 중단” 공지

이번 사고는 12일(현지시간) 발생했다. 레이디움(Raydium)과 봉크(BONK)의 지원을 받는 솔라나 기반 토큰 출시 플랫폼 본크닷펀의 도메인이 공격자에게 넘어가면서, 사이트 방문자가 악성 서명 메시지에 동의하도록 유도하는 방식의 피싱이 진행됐다.

운영자 톰(Tom)은 엑스(X·옛 트위터) 계정(@SolportTom)을 통해 “추가 공지가 있을 때까지 http://bonk.fun 도메인을 사용하지 말라. 해커가 팀 계정을 탈취해 도메인에 드레이너를 강제로 올렸다”고 밝혔다. 봉크 측 공식 엑스 계정도 동일한 내용을 확인하며 이용자 주의를 당부했다.

서명 유도로 지갑 탈취…프런트엔드 취약점이 ‘고질병’

이번 사례는 스마트컨트랙트 자체의 결함이라기보다, 사용자가 접속하는 웹사이트·도메인·계정 등 ‘프런트엔드’가 뚫리며 피해가 발생하는 전형적인 시나리오로 분류된다. 해커가 정상 서비스처럼 보이는 화면에서 ‘약관 동의’ 등으로 위장한 서명(Sign)을 요구하고, 이용자가 이를 승인하면 지갑에서 자산이 빠져나가는 구조다.

업계에서는 기관 참여가 확대되고 생태계가 커질수록 공격 표면도 함께 넓어지는 만큼, 프런트엔드 보안과 커뮤니티 경보 체계가 핵심 방어선이 되고 있다고 본다.

피해는 ‘제한적’ 주장…서드파티 거래·기존 연결은 안전

현재까지 피해 규모는 크지 않은 것으로 전해졌다. 톰은 “과거 본크닷펀과의 연결은 안전하며, 서드파티 터미널을 통해 실행된 거래도 안전하다”고 설명했다. 이번 사고 이후 손해를 본 이용자는 도메인 탈취 이후, 문제의 사이트에서 ‘가짜 약관(terms-of-service)’ 서명 메시지에 동의한 경우로 한정된다는 주장이다.

또 커뮤니티 내 경보가 빠르게 확산되면서 추가 피해가 제한됐다는 평가도 나온다. 톰은 “상황을 해결하기 위해 가능한 모든 조치를 하고 있다”며 지난 8개월간 플랫폼을 이용해온 사용자 보호를 우선순위로 두겠다고 밝혔다. 다만 달러 기준 피해액은 공개하지 않았다.

2025년 피싱 피해 급증…AI 사칭·‘돼지도살(pig butchering)’까지 확산

이번 사건은 최근 몇 년간 급증한 피싱 흐름과도 맞물린다. 특히 2025년에는 사기성 자금 유입이 170억달러(약 25조 1,617억 원)에 육박했고, AI 기반 사칭과 ‘돼지도살’(장기간 신뢰를 쌓은 뒤 투자·송금을 유도하는 사기) 수법이 1,400% 급증하며 피해가 사상 최고치를 기록한 것으로 집계됐다.

시장에서는 본크닷펀이 빠르게 공지하고 접속 중단을 유도하면서 피해가 제한된 점은 긍정적이지만, 도메인·SNS 계정 등 외부 접점이 공격받는 순간 사용자 자산이 직접 위협받는 구조는 여전하다는 점에서 경각심이 필요하다는 목소리가 나온다.

기사요약 by TokenPost.ai

🔎 시장 해석

- 솔라나(SOL) 생태계 토큰 런치패드 Bonk.fun이 ‘도메인 탈취 → 프런트엔드 변조 → 지갑 드레이너 유도’라는 전형적 공격을 당하며, 시장 분위기와 무관하게 반복되는 프런트엔드 리스크가 재확인됨

- 스마트컨트랙트 결함보다 ‘사용자가 보는 화면/링크/계정’이 뚫릴 때 피해가 즉시 발생하는 구조라, 생태계 확장(기관 참여, 사용자 증가)과 함께 공격 표면도 동반 확대되는 국면

- 2025년 피싱·사칭(특히 AI 기반) 급증 흐름과 맞물려, 도메인·SNS 같은 외부 접점 보안이 사실상 사용자 자산의 1차 방어선으로 부상

💡 전략 포인트

- 접속 즉시 ‘서명(Sign) 요청’이 나오면 목적(무엇을 승인하는지)과 권한 범위를 확인 전까지 승인 금지(약관/업데이트/에어드롭 위장 서명 포함)

- 공지 확인 전까지 bonk.fun 등 문제 도메인 접속 중단, 북마크/검색 결과 링크 대신 공식 채널(프로젝트 공식 X, 디스코드, 깃허브, 공지 페이지)로 교차검증

- 과거 연결이 안전하다는 주장과 별개로, 지갑에서 dApp 연결·권한(Approval) 점검 및 불필요 권한 철회, 의심 트랜잭션은 즉시 중단·지갑 분리(자산 이동) 고려

- 프로젝트 운영 측은 도메인/DNS/SNS 계정 보안(2FA·하드웨어 키·레지스트라 잠금)과 커뮤니티 경보 체계를 강화해야 하며, ‘프런트엔드 무결성 모니터링’이 상시 과제가 됨

📘 용어정리

- 프런트엔드 해킹: 스마트컨트랙트가 아니라 웹사이트/도메인/배포 서버/소셜 계정 등이 뚫려 사용자를 속이는 공격

- 도메인 탈취: 공격자가 도메인 관리자 권한(DNS/레지스트라)을 장악해 악성 사이트로 연결되게 만드는 행위

- 월렛 드레이너(Wallet Drainer): 사용자가 서명/승인을 누르게 유도해 지갑 자산을 탈취하는 악성 코드/흐름

- 서명(Sign): 지갑이 특정 메시지/거래를 ‘내가 승인한다’고 암호학적으로 확인하는 행위(승인 내용에 따라 자금 이동 권한이 생길 수 있음)

- 피그 부처링(pig butchering): 장기간 신뢰를 쌓은 뒤 투자·송금을 유도해 큰 금액을 편취하는 사기 수법

💡 자주 묻는 질문 (FAQ)

Q.

이번 Bonk.fun 사고는 스마트컨트랙트가 해킹된 건가요?

핵심은 스마트컨트랙트 취약점이라기보다 ‘도메인 탈취’로 인해 웹사이트(프런트엔드)가 변조된 점입니다. 사용자가 정상 화면처럼 보이는 페이지에서 서명(Sign)을 승인하면, 월렛 드레이너가 그 승인을 이용해 자산을 빼가는 방식입니다.

Q.

어떤 경우에 실제로 피해가 발생하나요?

알려진 바에 따르면 도메인 탈취 이후 bonk.fun에 접속해 ‘가짜 약관(terms-of-service) 등’으로 위장된 서명 요청에 동의(승인)한 이용자가 주로 피해 대상이 됩니다. 반면, 과거 본크닷펀 연결이나 서드파티 터미널을 통한 거래는 안전하다는 운영진 설명이 나왔습니다. 다만 확정 피해 범위는 추가 공지를 확인하는 것이 좋습니다.

Q.

초보자가 바로 할 수 있는 예방 수칙은 무엇인가요?

첫째, 공식 공지가 나오기 전까지 문제 도메인 접속을 중단하고 링크를 공식 채널로 교차검증하세요.

둘째, ‘약관 동의/보안 업데이트/에어드롭’처럼 보이는 갑작스러운 서명 요청은 승인하지 말고 내용을 확인하세요.

셋째, 지갑의 dApp 연결/권한(Approval)을 점검해 불필요한 권한을 철회하고, 의심 상황이면 자산을 새 지갑으로 분리하는 것이 안전합니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.