BonkDAO의 재무부 해킹 사건 개요
누군가 해킹한 것도 아니고, 스마트 계약이 실패한 것도 아니며, 개인 키가 유출된 것도 아니고, 피싱 링크가 작동한 것도 아닙니다. 7월 6일, Solana의 대표적인 밈코인 중 하나인 BonkDAO의 재무부는 약 2천만 달러 상당의 BONK를 공격자가 제어하는 지갑으로 이체했습니다. 이체의 모든 단계는 DAO의 규칙에 따라 정확히 실행된 유효한 거래였습니다. 공격자는 거버넌스 시스템을 파괴하지 않았습니다. 그들은 약 440만 달러를 지불하고, 7개의 지갑이 참여한 투표에서 18,000명 이상의 회원이 참여하지 않은 상황에서 거의 5대 1의 암시적 수익률로 그것을 구매했습니다.
거버넌스 시스템의 취약점
이 사건은 업계가 수년간 정중하게 무시해온 불편한 진실에 대한 가장 명확한 증거입니다: 토큰 가중 투표로 관리되는 재무부는 임시 다수를 구성하는 비용과 정확히 동일하며, 대부분의 DAO에게 그 비용은 상금의 일부에 불과합니다. 이 메커니즘은 범죄 이야기를 설계 교훈으로 바꾸는 세부 사항이기 때문에 신중한 검토가 필요합니다.
“이 사건은 DAO가 단순히 갖추지 못한 표준 통제 장치가 없었음을 보여줍니다.”
공격의 실행 과정
7월 6일, BonkDAO 재무부가 악의적인 제안으로 2천만 달러의 BONK를 소진했다는 소식이 전해졌습니다. 공격은 빠르지 않았고 숨겨지지도 않았습니다. 6월 30일, 익명의 지갑이 BonkDAO의 거버넌스 시스템에 제안을 제출했습니다. 제안은 BIP #76이라는 제목을 달고, 거버넌스 갱신 계획으로 자신을 포장했으며, 도난을 전환 관리의 언어로 꾸몄습니다.
제안자는 제어하는 지갑으로 4.43조 BONK, 즉 재무부의 대부분을 이체하라는 지시를 포함했습니다. 제안은 6일 동안 유효했습니다. 그 기간 동안 공격자는 체계적으로 투표 권한을 축적하며, 약 440만 달러를 지출하여 거래소 지갑을 통해 BONK를 구매했습니다.
투표 결과와 시스템의 작동
7월 6일, 공격자는 모은 지분을 투표했습니다. 최종 집계는 882.38억 BONK가 찬성으로 집계되었고, 정족수 기준은 879.95억이었습니다. 투표율은 2.9%였으며, 찬성 비율은 99.9%로, 이는 한 명의 투표자가 스스로 동의할 때의 만장일치의 모습입니다.
그런 다음 시스템은 설계된 대로 작동했습니다. Realms 기반 거버넌스는 통과된 제안을 자동으로 실행합니다. 아무도 서명하지 않았고, 위원회가 이체를 검토하지 않았으며, 승인과 실행 사이에 지연이 없었습니다.
결론 및 향후 전망
이 사건은 DAO가 구축한 것에 비례하여 손실의 규모가 인식된다는 점에서 중요한 의미를 가집니다. BONK는 2022년 12월, Solana의 가장 어두운 시기에 대한 답으로 출시되었으며, 공격의 중심에 있는 재무부는 그 운영의 축적된 전쟁 자금으로, 공급량의 약 15%를 보유하고 있었습니다.
이 사건은 DAO 구조가 단순한 장식이 아니라, 실제 자원을 축적하고 관리할 수 있는 메커니즘임을 보여줍니다. 따라서 이 카테고리의 가장 좋은 주장을 공격하는 것이며, 커뮤니티 재무부를 방어막으로 제시한 모든 프로젝트는 이제 그 방어막의 가격표에 대해 책임을 져야 합니다.
결국, 이 사건은 DAO의 거버넌스와 보안에 대한 중요한 교훈을 제공하며, 향후 모든 재무부를 보유한 DAO가 규칙을 재작성하는 방식에 영향을 미칠 것입니다.