거버넌스 공격이란 무엇인가? BonkDAO가 단 한 번의 투표로 2천만 달러를 잃은 방법

5시간 전
6분 읽기
2 조회수

거버넌스 공격의 개요

2026년 7월 6일, 한 공격자가 약 400만 달러를 사용하여 BONK를 구매한 후, 7개의 지갑을 통해 거의 100%의 투표 권한을 확보하여 DAO의 금고에서 2천만 달러를 합법적으로 가져갔습니다. 이 사건은 코드 해킹이 아닌, 설계된 대로 작동하는 투표 시스템을 이용한 거버넌스 공격의 전형적인 사례입니다. 이 글에서는 거버넌스 공격의 작동 방식, 증가하는 빈도, 그리고 이를 방지할 수 있는 방법에 대해 설명하겠습니다.

거버넌스 공격의 메커니즘

대부분의 암호화폐 도난 사건은 스마트 계약의 버그, 도난당한 키, 또는 스푸핑된 웹사이트와 같은 방식으로 발생합니다. 그러나 거버넌스 공격은 이러한 방식과는 다릅니다. 공격자는 분산 조직의 자체 투표 시스템을 이용하여 금고를 공격자에게 유리한 제안으로 통과시키는 것입니다. 이 과정에서 코드는 완벽하게 작동하며, 규칙은 철저히 준수됩니다. 그러나 결과적으로 돈은 빠져나갑니다. 왜냐하면 규칙 자체가 이를 허용했기 때문입니다.

“거버넌스 공격은 설계의 실패입니다. 시스템은 정확히 의도한 대로 작동했지만, 결과는 여전히 강도질이었습니다.”

BonkDAO 사건 분석

2026년 7월 6일 BonkDAO에서 발생한 사건이 그 예입니다. 공격자는 며칠에 걸쳐 거래소에서 약 400만 달러의 BONK 토큰을 조용히 구매하고, 지배적인 투표 권한을 축적한 후 DAO의 금고에 제안을 제출했습니다. 투표가 종료되었을 때, 공격자와 연결된 지갑은 전체 투표의 약 99.878%를 통제하고 있었으며, 제안이 통과되어 약 2천만 달러의 BONK가 금고에서 공격자 통제 지갑으로 이동했습니다. 단 7개의 주소만 투표에 참여했습니다. 이는 정문을 통해 실행된 인수와 같았습니다.

거버넌스 공격의 증가

거버넌스 공격은 정교한 기술적 능력이 필요하지 않기 때문에 점점 더 흔해지고 있습니다. 단지 자본과 방어가 취약한 투표 시스템만 있으면 됩니다. 많은 DAO, 특히 과도한 금고를 가진 메모코인 프로젝트들이 이러한 시스템 뒤에 큰 금고를 보유하고 있습니다. 이 글에서는 거버넌스 공격이 무엇인지 설명하고, BonkDAO 사례를 자세히 살펴보며, 사전 자본이 전혀 필요 없는 플래시 론 버전을 포함한 주요 변형을 다루고, Beanstalk에서 Compound, Tornado Cash까지의 역사적 기록을 조사하며, 실제로 작동하는 방어책과 그들이 드물게 완전히 배치되는 이유를 설명합니다.

거버넌스 공격의 방어책

핵심 아이디어는 불편한 하나의 개념입니다: 돈이 투표하는 시스템에서, 충분한 투표를 임대할 수 있는 사람은 규칙을 다시 쓸 수 있습니다. 이는 코드 악용이나 키 손상과는 다른 취약점입니다. 분산 자율 조직, 즉 DAO는 경영진과 이사회를 토큰 보유자의 투표로 대체합니다. 거버넌스 토큰 보유자는 제안을 제출하고, 다른 보유자는 투표하며, 제안이 요구되는 기준에 도달하면 스마트 계약이 자동으로 실행됩니다. 제안은 매개변수를 조정하거나 코드를 업그레이드하거나 금고 자금을 이동할 수 있으며, 매력은 단 한 사람이 결과를 통제하지 않는다는 것입니다. 커뮤니티가 투명하게 온체인에서 통제합니다.

거버넌스 공격은 그 개방성을 무기로 바꿉니다. 공격자는 DAO의 코드에서 버그를 찾는 대신, 일반적으로 거버넌스 토큰을 구매하여 합법적인 수단으로 충분한 투표 권한을 획득하고, 그 권한을 사용하여 공격자에게 유리한 제안을 통과시킵니다. 이는 순전히 경제적 공격으로, 거래 순서 조작이나 메모리 풀 속임수가 필요하지 않습니다. 토큰을 획득하고 투표하는 것은 모두 허용된 행동이기 때문에, 공격은 보안 연구자들이 순전히 프로토콜 내에서 발생한다고 부르는 것입니다. 이는 암호화나 더 나은 코드 감사로 예방할 수 없습니다. 왜냐하면 악용되는 것은 투표 메커니즘이 설계된 대로 작동하는 것뿐이기 때문입니다.

결론

거버넌스 공격은 누군가가 DAO에서 충분한 투표 권한을 획득하고, 일반적으로 거버넌스 토큰을 구매하여 그 권한을 사용하여 커뮤니티의 비용으로 자신에게 유리한 제안을 통과시키는 것입니다. 이는 코드의 버그가 아니라 설계된 대로 작동하는 투표 메커니즘을 악용합니다. 이는 전형적인 스마트 계약 해킹과 다릅니다. 공격자는 며칠에 걸쳐 거래소에서 약 400만 달러를 사용하여 BONK를 구매하고, 지배적인 투표 권한을 축적했습니다. 그들은 금고 제안을 제출하고 6일 동안 그대로 두었으며, 단 7개의 지갑만 투표했기 때문에 공격자의 지갑은 약 99.878%의 투표를 통제했습니다. 제안이 통과되었고, 약 2천만 달러의 BONK가 금고에서 빠져나갔습니다. 스마트 계약 악용은 없었습니다. 거버넌스 공격에서는 스마트 계약이 정확히 설계된 대로 작동합니다. 도난은 악의적인 제안이 통과하고 실행되도록 허용한 투표 규칙 때문입니다. 이것이 거버넌스 공격이 더 나은 코드 감사만으로 예방될 수 없는 이유입니다.

면책 조항: 이 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다. 디지털 자산 시장은 변동성이 크며, 전체 투자를 잃을 수 있습니다. 항상 스스로 조사하십시오. 정보는 2026년 7월 7일 기준입니다.