![440 만 달러로 [] 투표 [] 해 2000 만 달러를 이체하다, BonkDAO 역사상 가장 아이러니한 DAO 거버넌스 공격 직면](https://upload.techflowpost.com/upload/images/20260708/20260708055548908771.jpeg)
440 만 달러로 [] 투표 [] 해 2000 만 달러를 이체하다, BonkDAO 역사상 가장 아이러니한 DAO 거버넌스 공격 직면
저자: 클로드, TechFlow
TechFlow 가이드: BonkDAO 금고에서 거버넌스 제안을 통해 약 2000 만 달러 상당의 BONK 토큰이「합법적으로」이전되었습니다. 공격자는 440 만 달러를 들여 정확히 1% 를 약간 초과하는 투표권의 BONK 를 매입했고, 거버넌스 개혁으로 위장한 제안을 제출했으며, 6 일 동안 아무도 관심을 갖지 않은 채 기다린 후 스스로 투표하여 통과시켰고, 스마트 계약이 자동으로 이체를 실행했습니다.
전 과정에서 코드 취약점도 해킹 침입도 없었습니다. 거의 아무도 보지 않는 거버넌스 포럼과整整 6 일 동안 무시된 하나의 제안만 있었을 뿐입니다. BONK 가격은 이에 따라 약 8% 하락했습니다.

한 사람이 440 만 달러를 들여 2000 만 달러 상당의 BONK 토큰을 이전했습니다. 어떤 코드도 뚫리지 않았으며, 그는 BonkDAO 자체 투표 시스템을 이용했습니다.
7 월 6 일, 한 공격자가 Solana 체인상 거버넌스 플랫폼 Realms 를 통해 제출한 악의적인 제안이 자동으로 실행되어, 약 4.426 조 개의 BONK 토큰이 BonkDAO 금고에서 공격자가 제어하는 지갑으로 이체되었으며, 당시 가격으로 계산하면 약 2000 만 달러에 해당합니다.
BonkDAO 는 이후 X 플랫폼에서「악의적인 거버넌스 제안」공격을 확인했다고 밝히며, 법 집행 기관에 통보했으며 거래소, 크로스체인 브리지 및 Solana 재단과 협력하여 자금을 추적 중이라고 밝혔습니다.
이번 사건의 눈에 띄는 점은 수단입니다: 공격자는 전 과정에서「합법적인 절차」를 따랐습니다.
거버넌스 규칙의 허점을 악용하여 자신에게 자금 이체
CoinDesk 의 7 월 7 일 보도에 따르면, 공격자의 조작 경로는 복잡하지 않았습니다.
6 월 30 일, 공격자는 번호 BIP #76 의 제안을 제출했으며, 제목은「Sowellian BonkDAO」였습니다. 표면적으로는 거버넌스 개혁안으로 포장되었으나, 내용에는「새로운 구성원 및 위원회 임명」「자산 화폐화」「지혈 (손실 막기)」이 언급되었고, 심지어「모든 찬성 투표자는 토큰을 받을 자격이 있음」이라고 약속했습니다. 하지만 제안의 핵심 실행 지시는 하나뿐이었습니다:
4.426 조 개의 BONK 를 공격자가 제어하는 주소로 이체한다.
이에 앞서 공격자는 Bybit, Binance 등 거래소를 통해 약 440 만 달러 상당의 BONK 를 분할 매입했으며, 누적 보유량이 BonkDAO 의 1% 투표 기준선 (quorum, 즉 제안 발효에 필요한 최소 참여율) 을 간신히 초과했습니다.

제안은 거버넌스 포럼에 6 일 동안 게시되었습니다. 이 기간 동안 BonkDAO 의 18000 명 이상의 자격 있는 투표 구성원 중 단 7 개의 지갑만 투표에 참여했으며, 투표율은 약 2.9% 였습니다. 공격자는 자신의 보유량으로 찬성표를 던졌으며, 이는 참여 투표 총량의 99.878% 를 차지했습니다. 찬성표 882.38 억 개의 BONK 로, 879.95 억 개의 기준선을 간신히 넘었습니다.
7 월 6 일, 제안이 자동으로 통과되었고 스마트 계약이 규정에 따라 실행되어 2000 만 달러가 이체되었습니다.
거버넌스 포럼을 아무도 보지 않아, 제안이 자동 인출기가 되다
암호화폐 KOL TheDeFinvestor 는 이것이 해킹 공격조차 아니라고 봅니다. 제안이 통과된 이유는 매우 간단하고도 터무니없는데, 바로 BONK 보유자가 거버넌스 포럼의 제안 세부 사항을 실제로 확인하지 않았기 때문입니다.
이 말은 전체 DAO 거버넌스의 근본적인 가정을 찌릅니다.
토큰 가중치 투표 (token-weighted voting) 의 논리적 전제는 다음과 같습니다: 보유자는 경제적 이해관계가 묶여 있기 때문에 프로젝트의 미래에 관심을 가질 것이라는 것입니다. 하지만 이 가정은 meme 코인 프로젝트에서는 거의 완전히 무효화됩니다.
BONK 의 보유자 대다수는 투기적 트레이더이며, 매입 목적은 가격 변동이며 거버넌스 결정은 그들과 무관합니다. 코인 가격이 2024 년 11 월의 역사적 고점인 0.000059 달러에서 93% 하락하고, 시가총액이 40 억 달러 이상에서 4 억 달러 미만으로 줄어들면서 투기자의 열정조차 식었는데, 누가 거버넌스 포럼의 제안 목록을 뒤지겠습니까.
시장이 식으면 포럼도 식습니다. 포럼이 식으면 이체 지시가 숨겨진 제안이 6 일 동안 조용히 게시되어 자동 실행을 기다릴 수 있습니다.
연구 기관 Gauntlet 의 2023 년 조사에 따르면, 주요 DeFi 프로토콜의 60% 이상이 투표 참여율 10% 미만입니다. BonkDAO 의 2.9% 투표율은 이 맥락에서 심지어 예외적이지도 않습니다.
440 만으로 2000 만을 얻다: 공격 비용이 수익보다 훨씬 낮음
만약 당신이 나쁜 사람이라면, 공격을 시작하는 데 있어 이 계산은 실제로 매우 합리적입니다.
공격자는 약 440 만 달러를 들여 투표권을 매입했고, 약 2000 만 달러의 금고 자산을 이전했으며, 투자 대비 수익률은 약 1:5 에 가깝습니다.
순수 경제적 관점에서 볼 때, DAO 금고 자산 규모가 투표 기준선 구매에 필요한 비용보다 크다면这类 공격은 수익성이 있습니다. BonkDAO 의 quorum 은 총 공급량의 1% 로 설정되어 있으며, 투표 참여율은 장기적으로 3% 미만입니다. 공격자는 그 누구를 설득할 필요가 없으며, 단 아무도 주목하지 않을 때 나타나기만 하면, 돈으로 투표하면 됩니다.
블록체인 보안 회사 PeckShield 는 도난당한 BONK 중 약 14.8 만 달러가 이미 OKX 거래소로 유입된 것을 감지했습니다. 한국 거래소 Upbit 는 BONK 의 입금과 출금을 중지했습니다. SlowMist 공동 창업자 위셴은 X 플랫폼에서 약 4.426 조 BONK 의 이체 기록을 확인했습니다.
BONK 가격은 소식 공표 후 약 8% 에서 10% 하락했으며, 기사 작성 시점 기준으로 0.000004 달러 부근입니다.
회수 전망 낙관적이지 않아, 거버넌스 보완이 진정한 문제
BonkDAO 는 공격자가 BONK 구매에 사용한 거래소 지갑을 식별했으며, Chainalysis 등 체인상 분석 회사와 협력하여 자금 흐름을 추적 중이라고 밝혔습니다. 하지만 거버넌스 제안을 통해 실행된 체인상 이체는 기술적으로「합법적 거래」이며, 스마트 계약 취약점 악용과는 달라 체인상 롤백이나 하드 포크로 되돌릴 수 없습니다. 자금 회수의 희망은 주로 거래소 동결 및 법 집행 개입에 달려 있으며, 이는 공격자의 신원을 성공적으로 식별하는 것이 전제 조건입니다.
더 큰 위험 요소는 Solana 의 Realms 거버넌스 플랫폼에서 800 개 이상의 DAO 가 운영되며, 총 15 억 달러 이상의 금고 자산을 관리하고 있다는 점입니다. 금고 규모가 quorum 구매 비용보다 크고 투표 참여율이 10% 미만인 어떤 DAO 도 동일한 위험에 노출되어 있습니다.
마지막으로, 필자가 가장 아이러니하다고 생각하는 점은 DAO 의 전체 이름이「탈중앙화 자율 조직」이라는 것이며, 「자율」의 전제는 실제로 누군가 거버넌스를 하고 있다는 것입니다.
아무도 거버넌스 포럼을 보지 않을 때, 「탈중앙화」는「아무도 관리하지 않음」이 되고, 「자율」은「자동 인출」이 됩니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News














