BonkDAO, 2,000만 달러 '탈취' 당하다: 공격자가 거버넌스 투표권으로 금고를 턴 사건
2026년 7월 6일, 솔라나(Solana) 생태계의 유명 밈코인 BONK를 운영하는 탈중앙화 자율조직 BonkDAO의 금고(treasury)에서 약 2,000만 달러 상당의 토큰이 빠져나갔다. 주목할 점은 공격자가 스마트 컨트랙트의 어떤 기술적 취약점도 이용하지 않았다는 것이다. 그들은 그저… 투표를 했을 뿐이다. 이 사건은 수많은 DeFi 프로젝트가 채택한 '토큰 거버넌스' 모델의 핵심 약점을 드러냈다. 투표권을 돈으로 살 수 있다면, 금고 전체 역시 통째로 살 수 있다는 사실이다.
무슨 일이 일어났나?
온체인 데이터와 BonkDAO 자체의 확인에 따르면, BIP #76 — "Sowellian BonkDAO"라는 이름의 거버넌스 제안이 통과되어 4조 4,300억 BONK(당시 시세로 약 2,000만 달러)가 DAO 금고 지갑에서 공격자의 지갑으로 자동 이체되었다. 전 과정은 기술적으로 완벽하게 합법적이었다. 제안이 상정되고, 최소 정족수(quorum)를 충족하고, 가결된 뒤, 온체인 자동 실행 메커니즘이 나머지를 처리했다.
충격적인 부분은 투표 참여율이다. 이 제안은 단 7개 지갑의 찬성표만으로 통과되었으며, 나머지 1만 8,000명 이상의 회원은 아예 참여하지 않았다. 참여율은 고작 약 2.9%였다. 투표 결과는 99.9% '찬성'에 달했고, 정족수 문턱을 아슬아슬하게 넘었다. 찬성 8,823억 8,000만 BONK 대 최소 기준 8,799억 5,000만 BONK. 다시 말해, 찬성표가 조금만 부족했더라도 이 음모는 실패했을 것이다.
공격자는 어떻게 이를 해냈나?
이는 통상적인 의미의 해킹이 아니다. 정수 오버플로도, 재진입(reentrancy) 취약점도, 개인 키 유출도 없었다. 대신 공격자는 DAO 자체의 게임 규칙을 이용했다.
온체인 분석가들의 복기에 따르면, 공격자는 약 440만 달러를 들여 며칠에 걸쳐 거래소 입출금 지갑을 활용해 BONK 총공급량의 1% 이상을 조용히 매집했다. 주목을 피하기 위해서였다. 참여율이 극히 낮은 투표에서, 이 1%가 조금 넘는 물량은 결정적 한 표가 되기에 충분했다. 한 개인을 금고 전체의 운명을 좌우할 수 있는 '일시적 과반'으로 둔갑시킨 것이다.
충분한 투표권을 확보한 공격자는 단 하나의 내용을 담은 제안을 상정했다. 금고에 있는 모든 BONK를 자신의 지갑으로 이체하라는 것이었다. 커뮤니티 대다수가 무관심했거나 미처 대응하지 못한 탓에, 제안은 투표를 통과했고 누구도 막기 전에 실행되었다. 이는 냉혹한 수익 계산이었다. 440만 달러를 써서 2,000만 달러를 가로챈 것이다.
왜 '토큰 거버넌스'는 이토록 취약한가?
토큰 가중 투표(token-weighted voting)에 기반한 DAO 모델에는 암묵적 가정이 있다. 토큰 보유자들이 공동의 이익을 위해 행동하고, 다수가 충분히 참여해 권력을 견제하리라는 것이다. BonkDAO 사건은 이 가정이 현실에서 어떻게 무너지는지를 보여준다.
첫째, 투표권은 살 수 있는 상품이다. 시장에 유동성이 충분하면, 돈이 있는 누구든 결정 기준선에 도달할 만큼의 토큰을 매입할 수 있다. 특히 낮은 정족수만 필요한 제안이라면 더욱 그렇다.
둘째, 유권자의 무관심(voter apathy)이 급소다. 1만 8,000명이 넘는 회원 중 단 7개 지갑만 투표했다는 사실은, 커뮤니티 대다수가 거버넌스 활동을 지켜보지 않는다는 것을 보여준다. DAO의 마비를 막기 위해 설정된 낮은 정족수 기준이, 오히려 공격자에게 문을 활짝 열어준 셈이다.
셋째, 자동 실행 메커니즘에 '안전밸브'가 없다. 제안이 통과되자마자 즉시 자동으로 자금이 이체되면, 커뮤니티에는 악의적 제안을 발견하고 거부할 지연 시간(timelock)이 없다. 많은 대형 DAO가 바로 이 때문에 주요 금고 거래에 며칠간의 timelock을 도입하고 있다.
시장 영향
소식이 퍼지자 BONK 가격은 약 8~9% 하락했다. 이는 개별 소액 투자자에 대한 직접적 손실이라기보다는 신뢰에 대한 충격을 반영한다. 커뮤니티 심리에 크게 의존하는 밈코인에게 거버넌스 신뢰도가 입은 타격은 2,000만 달러라는 숫자보다 더 오래 갈 수 있다.
BonkDAO는 공격자가 투표 전 토큰을 매집하는 데 사용한 거래소 지갑들을 파악했으며, 각 거래소와 브리지(bridge), 솔라나 재단과 협력해 후폭풍을 관리하고 자금 흐름을 추적하고 있다고 밝혔다. 다만 토큰이 여러 지갑과 크로스체인 브리지를 거쳐 분산된 뒤에는, 이런 사건에서 자산 회수 가능성은 대체로 매우 제한적이다.
절도인가, 규칙의 허점을 이용한 것인가?
BonkDAO 사건은 오랫동안 DeFi 업계를 괴롭혀온 철학적 논쟁을 다시 불붙였다. 어떤 행위가 사전에 프로그래밍된 모든 규칙을 완벽히 따랐다면("코드가 곧 법이다"), 그것은 절도인가 아니면 그저 허술한 규칙 설계를 활용한 것인가? 공격자는 어디에도 불법적으로 침입하지 않았다. 그들은 시스템이 허용한 그대로 했다. 토큰을 사고, 투표하고, 결과를 실행했다.
윤리적·법적 차원에서 커뮤니티 대다수는 이를 자산 횡령으로 본다. 그러나 기술적 차원에서 이 사건은 '취약점 악용'과 '규칙대로 행동하기' 사이의 모호한 경계를 드러낸다. 바로 이 모호함 때문에, 탈중앙화 공간에서 소송을 제기하거나 책임을 추궁하는 일은 지극히 복잡해진다.
투자자와 DeFi 프로젝트를 위한 교훈
프로젝트 입장에서 이 사건은 거버넌스 설계에 대한 경종이다. 금고 거래에는 timelock이 필요하고, 정족수와 가결 기준선은 충분히 높아야 하며, 비정상적 표 매집을 탐지하는 메커니즘이 있어야 한다. 나아가 '권력 매수'에 저항하는 투표 모델, 예컨대 이차 투표(quadratic voting)나 장기 락업 요구 같은 방식을 도입할 수도 있다.
투자자에게 메시지는 더욱 분명하다. 거버넌스 토큰의 가치는 그 효용에만 있는 것이 아니라, 거버넌스 메커니즘 자체의 안전성에도 달려 있다. 견고한 거버넌스 설계로 보호받지 못하는 거대한 금고란, 열쇠를 시장에 공개적으로 내다 파는 금고나 다름없다.
결론
BonkDAO의 2,000만 달러 손실은 기술적 해킹이 아니라 거버넌스 설계의 실패였다. 그렇기에 오히려 더 우려스럽다. 이 사건은 DeFi 세계에서 안전한 코드만으로는 충분하지 않음을 증명한다. 커뮤니티 자체의 게임 규칙 또한 실제 공격 표면처럼 감사하고 강화해야 한다. 점점 더 많은 가치가 DAO의 손에 맡겨지는 지금, "과연 누가 진짜로 금고를 통제하는가?"라는 질문은 앞으로도 거듭 제기될 것이다.
⚠️ 면책 조항: 본 글은 정보 및 분석 참고용일 뿐 투자 조언이 아닙니다. 디지털 자산 시장은 높은 위험을 수반하므로, 투자자는 결정을 내리기 전에 스스로 조사하고 신중히 판단해야 합니다.