2026년 7월 7일 화요일 05:40
BONK, 공격자가 악의적인 제안을 통과시키기 위해 400만 달러를 사용한 후 2천만 달러의 금고 유출 직면
코인데스크

- 공격자는 BONK DAO의 온체인 거버넌스 시스템을 사용하여 프로젝트의 금고에서 약 2천만 달러 상당의 BONK 토큰을 자동으로 유출시키는 제안을 통과시켰습니다.
- 공격자는 BONK 공급량의 1% 이상을 구매하기 위해 약 440만 달러를 사용하여 정족수 기준을 충족시켰고, 낮은 투표율의 투표에서 99.9%의 찬성표로 통과시켜 단일 결정적 투표자가 되었습니다.
- 이 사건은 토큰 기반 거버넌스가 일시적인 투표 다수를 저렴하게 구매할 수 있을 때 금고를 취약하게 만들 수 있음을 강조하며, 이러한 행동이 도둑질인지 아니면 단순히 결함 있는 규칙의 악용인지에 대한 논쟁을 재점화했습니다.
온체인 거버넌스는 몇 년 전 커뮤니티가 스스로 운영하는 미래로 환영받았습니다. 그러나 메모코인 BONK에 대한 수백만 달러의 공격은 누구나 구매할 수 있는 공개 투표의 자비에 금고를 맡기는 비용을 보여줍니다.
BONK DAO는 월요일 늦게 2천만 달러가 유출되었으며, 이는 기회를 노린 공격자가 프로젝트의 bonk 토큰을 사들여 투표를 강행하기 위해 약 440만 달러를 사용한 일주일간의 계획의 정점이었습니다. 모든 단계는 합법적인 거래였으며, 구매, 투표, 지급과 같은 과정이 도둑질을 수행했습니다.
BONK는 Solana 기반의 메모코인이며, BONK DAO는 이를 관리하는 탈중앙화 자율 조직으로, 토큰 보유자가 제안에 투표하는 구조입니다. 충분한 토큰을 보유한 사람은 변경을 제안할 수 있으며, 투표가 통과되면 자동으로 온체인에서 실행됩니다.
이 디자인은 이번 공격에서 사용된 특정 무기였습니다.
이 시퀀스는 6월 30일, 익명의 지갑이 금고의 보유 자산을 자신이 제어하는 지갑으로 이전하는 제안을 제출하면서 시작되었습니다. 이 제안이 통과되기 위해서는 BONK 공급량의 1%에 해당하는 찬성표가 필요했습니다. 이는 효과를 발휘하기 위한 정족수 또는 최소 참여율입니다.
7월 4일과 5일 동안, 별도의 지갑이 정확히 그만큼을 획득하여 Bybit과 Binance 거래소에서 BONK를 구매하고, 한 계정에 따르면 DeFi 대출 플랫폼을 통해 더 많은 돈을 빌렸습니다.
"BIP #76 - Sowellian BonkDAO"라는 제목의 제안은 18,000명 이상의 회원 중 7개의 지갑만이 투표에 참여하여 2.9%의 투표율로 통과되었습니다.
이 제안은 882.38억 BONK가 찬성하여 879.95억 정족수를 근소한 차이로 넘어서 통과되었습니다. 이는 공격자가 며칠 동안 모은 지분과 거의 정확히 일치했습니다.
99.9%의 "찬성" 결과는 사실상 단일 투표자가 자신과 동의한 것이었습니다. 그 서면 제안은 거버넌스 동의안이라기보다는 자랑처럼 읽혔으며, "재건하고, 보유 자산을 수익화하고, 출혈을 멈추겠다"는 약속과 함께 "모든 찬성 투표자는 토큰을 받을 자격이 있다"는 문구가 포함되어 있었습니다.
그 아래에는 주목을 끌어야 했던 유일한 지시사항 - 공격자의 지갑으로 4.43조 BONK를 이전하는 것이 있었습니다.

7월 6일까지 투표자는 충분한 지분을 보유하고 있었습니다. 그는 전체 지분을 찬성으로 투표했고, 제안은 통과되었으며, 약 2천만 달러 상당의 BONK가 자동으로 금고에서 공격자의 지갑으로 이동했습니다.
9시간 후, 약 188,000달러가 거래소로 보내졌으며, 이는 현금화하기 위한 것으로 보이며, 나머지 1,900만 달러는 자금 이동에 여러 승인이 필요한 멀티시그 지갑으로 이동했습니다.
유출 후 한 시간 조금 지나 공격자는 공격을 위해 구매한 BONK를 판매하기 시작했으며, 약 530만 달러 상당을 처분했습니다. 그는 금고 토큰은 보유했지만, 그것을 확보하기 위해 모은 지분은 보유하지 않았습니다.
BONK DAO는 이후 공격을 확인하며, 약 2천만 달러가 금고에서 유출된 악의적인 거버넌스 제안이라고 설명했습니다. 투표 전에 토큰을 구매하기 위해 사용된 거래소 지갑을 식별했으며, 거래소, 브리지 및 Solana Foundation과 협력하여 여파를 관리하고 있다고 밝혔습니다.
이 공격은 이러한 일이 도둑질인지 아니면 규칙의 공정한 사용인지에 대한 오래된 논쟁을 되살렸습니다.
모든 단계가 유효한 거래였기 때문에 일부 온체인 관찰자들은 공격자가 단순히 약한 거버넌스 디자인을 악용했을 뿐 침입한 것은 아니라고 주장했습니다. BONK DAO와 분석 회사들은 이를 공격으로 간주하며, 법 집행 기관의 개입이 이를 반영합니다.
어느 쪽이든, 메커니즘이 교훈입니다. 일시적인 투표 다수를 모은 사람이 금고를 유출할 수 있는 금고는 그 다수를 구매하는 비용만큼만 안전하며, 여기서 그 비용은 상금보다 훨씬 적었습니다.
공격의 여파로 BONK 가격은 지난 24시간 동안 7% 하락했습니다, 데이터가 보여줍니다.
Copyrights ⓒ BLOCKCHAINSEOUL. 무단 전재 및 재배포 금지