최근 솔라나 블록체인 기반의 밈코인 플랫폼인 봉크 펀(Bonk.fun) 공식 웹사이트가 해킹당해 사용자 지갑 자산이 탈취당하는 사건이 발생했다. 공격자는 봉크 펀의 도메인을 장악한 뒤 정상적인 프로세스인 것처럼 위장한 메시지를 통해 지갑 보유자의 자산을 빼내는 '지갑 드레이너(wallet drainer)' 공격을 감행한 것으로 확인됐다.

봉크 펀 팀은 3월 11일(현지시간) 공식 소셜미디어 플랫폼 X를 통해 “악의적인 공격자가 BONKfun 도메인을 해킹했다”며 “문제가 해결될 때까지 사이트와 어떠한 상호작용도 하지 말라”고 긴급 경고했다. 현재 사용자들이 사이트에 접속하여 지갑을 연결하거나 승인 메시지에 서명할 경우, 공격자가 해당 지갑의 자산을 즉시 탈취할 수 있는 상황이다.

이번 해킹 사건은 블록체인 스마트 컨트랙트의 취약점으로 인한 것이 아니라, '프론트엔드 공격'으로 분석되고 있다. 소셜미디어 사용자인 솔포트톰(SolportTom)에 따르면, 해커는 팀 계정을 탈취하여 정상적인 웹 페이지 대신에 악성 인터페이스를 제공한 것으로 보인다. 사용자에게는 약관 동의처럼 보이는 팝업이 표시되며, 이는 실제 서비스 약관이 아닌 지갑 권한을 넘기도록 유도하는 함정이다. 이러한 요청에 서명할 경우 공격자는 지갑에 접근할 수 있게 되어, 짧은 시간 안에 자산을 전송할 수 있다.

봉크 펀 팀은 피해 규모에 대해 “최소 수준(minimal)”이라고 언급했지만, 구체적인 액수는 아직 온체인 분석을 통해 확인되지 않았다. 현재까지 파악된 피해자는 해킹이 진행되던 동안 가짜 약관 메시지와 상호작용했던 사용자들로 한정된다.

이번 해킹 사건은 밈코인 시장이 단기 반등을 보이던 시점에 발생하여, 사용자 신뢰에 부정적인 영향을 미칠 가능성이 커 보인다. 최근 밈코인 시장 전체 시가총액은 약 320억 달러(약 47조 3,120억 원)를 넘어섰지만, 봉크(BONK) 토큰의 가격은 최근 24시간 내에 약 1% 하락했으며, 지난 1년 동안은 약 45% 감소한 상태다.

크립토 업계에서 사용자 인터페이스를 노리는 공격이 증가하는 추세에 따라, 사용자들은 최대한 주의해야 할 시점이다. 블록체인 분석업체 체이널리시스에 따르면, 2025년까지 암호화폐 사기의 피해 규모는 약 170억 달러(약 25조 1,345억 원)에 달할 것으로 예상된다. 사용자들은 봉크 펀 공식 X 계정을 통해 '안전 확인(all-clear)' 공지가 전달될 때까지 사이트 접근을 자제할 필요가 있다.

봉크 펀 팀은 최근 24시간 동안 사이트를 방문한 사용자에게 보안 조치를 취할 것을 권고하고 있다. 사용자들은 즉시 지갑 설정에서 봉크 펀과의 연결을 해제하고, Revoke.cash와 같은 권한 취소 도구를 이용하여 최근 승인된 권한을 철회해야 한다. 또한, 지갑 거래 내역을 점검해 의심스러운 자산 이동이 있는지 확인하는 것이 중요하다.

이번 보안 문제가 장기화될 경우, 사용자들이 경쟁 플랫폼인 펌프펀(Pump.fun)과 같은 다른 서비스로 이동할 가능성도 제기된다. 반면, 봉크 펀 팀이 빠르게 도메인 보안을 복구하고 피해를 보상할 경우 시장의 신뢰를 일정 부분 회복할 수 있을 것으로 평가된다.