BTC $63,954.58 +0.89%
ETH $1,800.97 +0.82%
BNB $584.79 +0.20%
XRP $1.12 -1.41%
SOL $82.24 +0.59%
TRX $0.3318 +1.30%
DOGE $0.0753 -1.48%
ADA $0.1778 -3.50%
BCH $242.86 +1.24%
LINK $8.01 -0.12%
HYPE $72.16 +1.81%
AAVE $92.45 -4.41%
SUI $0.7445 +0.11%
XLM $0.1930 -3.64%
ZEC $508.89 +12.45%
BTC $63,954.58 +0.89%
ETH $1,800.97 +0.82%
BNB $584.79 +0.20%
XRP $1.12 -1.41%
SOL $82.24 +0.59%
TRX $0.3318 +1.30%
DOGE $0.0753 -1.48%
ADA $0.1778 -3.50%
BCH $242.86 +1.24%
LINK $8.01 -0.12%
HYPE $72.16 +1.81%
AAVE $92.45 -4.41%
SUI $0.7445 +0.11%
XLM $0.1930 -3.64%
ZEC $508.89 +12.45%

합법적인 강도 사건? 공격자가 티켓을 구매하여 BonkDAO 국고를 비우다

핵심 관점
Summary: 금고의 열쇠를 "누구나 돈을 쓰고 참여할 수 있는" 공개 투표에 맡기면, 충분한 검증 메커니즘이 부족할 경우, 아무리 정당한治理 이상이라도 공격자에게 가장 유리한 도구가 될 수 있다.
클로이
2026-07-07 21:06:15
수집
금고의 열쇠를 "누구나 돈을 쓰고 참여할 수 있는" 공개 투표에 맡기면, 충분한 검증 메커니즘이 부족할 경우, 아무리 정당한治理 이상이라도 공격자에게 가장 유리한 도구가 될 수 있다.

저자: Chloe, ChainCatcher

2026년 7월 6일 새벽, Solana 생태계의 밈코인 BONK의 커뮤니티 거버넌스 조직 BonkDAO가 거버넌스 공격을 당했다. 공격자는 "합법적으로" 통과된 거버넌스 제안을 통해 국고에서 약 4.4 조 개의 BONK 토큰을 빼내갔다. 이 사건에서 가장 주목할 만한 점은 어떤 스마트 계약의 취약점이 아니라, 공격자가 약 440만 달러를 "표를 사는 데" 사용하여 약 2,000만 달러의 자산을 교환했으며, 처음부터 끝까지, 토큰 구매, 투표, 자금 배분의 모든 단계가 기술적으로 완전히 유효한 거래였다는 것이다.

BonkDAO가 거버넌스 공격을 당해 국고 약 2,000만 달러가 털림

BonkDAO 공식 X 계정은 7월 6일 공격을 당했다고 확인하며, 이는 "악의적인 거버넌스 제안(malicious governance proposal)"이라고 밝혔다. 국고에서 약 2,000만 달러의 BONK가 이체된 것으로 추정된다. 도난당한 토큰이 즉시 거래소로 유입되면서 시장에서 매도 압력이 나타났고, BONK 가격은 24시간 내에 약 7%에서 10% 하락하여 약 0.0000043 달러 근처로 떨어졌으며, 역사적 최고점인 0.000058 달러보다 약 93% 낮은 수준이다.

이체된 토큰은 4.4 조 개의 BONK이다. 시간과 출처에 따라 평가가 약간 다를 수 있지만, 각 측에서 금액에 대한 설명은 약 1,930만 달러에서 2,120만 달러 사이로, 일반적으로 "약 2,000만 달러"로 요약된다.

BONK는 2022년 12월 Solana에서 출시된 유명한 개 밈코인으로, 대규모 커뮤니티 에어드랍으로 유명하며, 오랫동안 시장에서 대표적인 밈코인 중 하나로 여겨지고 있으며, 일부 ETF에도 포함되었다.

합법적인 강도 사건? 공격자가 티켓을 구매하여 BonkDAO 국고를 비우다

공격 메커니즘: Proposal #76 "Sowellian BonkDAO"에 숨겨진 악의적인 지시

공격의 핵심 도구는 "BIP #76 - Sowellian BonkDAO"라는 이름의 거버넌스 제안이다. 표면적인 문구에서는 "Sowellian 거버넌스" 도입, 위원 및 이사 교체, 재구성, 보유 자산의 화폐화, 손실 방지 등의 일련의 개혁 주제를 주장하고 있으며, 문서적으로 보면 거버넌스 제안이라기보다는 오히려 열정적인 선언문처럼 보인다. 그 안에는 "재에서 재건하고, 보유 자산을 화폐화하며, 손실을 멈추겠다"는 내용이 적혀 있으며, 모든 "찬성" 투표를 한 참여자에게 BONK 토큰 보상을 받을 자격이 있다고 약속하고 있다.

실제로 문제가 되는 것은 제안 하단에 숨겨진 실제 실행 지시로, 4.43 조 개의 BONK를 공격자의 지갑으로 직접 이체하는 거래이다. 이것이 제안서에서 유일하게 실질적인 효과를 가진 행동이며, 처음부터 설정된 진정한 목적이다. BonkDAO의 설명에 따르면, 국고를 비우는 이 지시는 두 번째 실행 단계에 끼워져 있어 가장 눈에 띄는 위치에 있지 않아 한눈에 드러날 확률을 낮추었다. 다시 말해, 이는 자금을 탈취하는 지시의 제안으로, 거버넌스 개혁의 외피를 씌운 것이다.

공격자가 구매한 표로 제안이 통과되면, 이 지시는 자동으로 체인에서 실행되며, 누구의 확인도 필요 없다. 따라서 자금은 미국 동부 시간으로 7월 6일 새벽 4시경 "JHvQ"로 끝나는 공격자의 지갑으로 직접 유입되었다; 찬성표를 던진 이들에게 약속된 토큰 분배는 물론 지급되지 않을 것이다.

합법적인 강도 사건? 공격자가 티켓을 구매하여 BonkDAO 국고를 비우다

공격자는 사전에 "표를 구매"하여 커뮤니티 모니터링을 우회

Chainalysis, Lookonchain 등의 체인 분석에 따르면, 이번 공격은 약 일주일에 걸친 계획된 행동이다:

6월 30일, 한 익명의 지갑이 거버넌스 플랫폼에 이 제안을 제출했다. 제안이 통과되기 위해서는 최소 1%의 토큰 공급량 기준을 충족해야 하며, 약 879.95억 개의 BONK가 찬성표로 던져져야 한다.

따라서 7월 4일과 5일 이틀 동안, 다른 지갑이 Bybit와 바이낸스 두 거래소를 통해 약 882.38억 개의 BONK를 구매하며 약 440만 달러를 지출하여, 기준을 초과할 수 있는 표 수를 축적했다; Lookonchain에 따르면, 공격자는 DeFi 대출 플랫폼을 통해 더 많은 토큰을 빌렸을 가능성도 있다. 이 일련의 행동은 거래소 지갑을 통해 분산되어 진행되었으며, 커뮤니티는 거의 눈치채지 못한 채 투표 결과를 좌우할 수 있는 보유량을 조용히 축적했다.

합법적인 강도 사건? 공격자가 티켓을 구매하여 BonkDAO 국고를 비우다

최종 제안은 극소수의 차이로 통과되었다: 882.38억 개의 찬성표가 879.95억 개의 기준에 맞춰져, 거의 공격자가 수일간 축적한 보유량과 정확히 일치했다. 더욱 주목할 만한 것은 투표 구조 자체이다: 전체 과정에서 단 7개의 지갑만 투표했으며, 1.8만 명 이상의 회원은 전혀 참여하지 않았고, 투표율은 약 2.9%에 불과했지만, "찬성" 비율은 99.9%에 달했다. 다시 말해, 이른바 "커뮤니티 합의"는 사실상 공격자가 스스로와 합의한 결과에 불과하다.

국고를 비운 후, 공격자는 손에 쥔 토큰을 두 가지 전혀 다른 방식으로 처리했다.

국고에서 빼낸 약 2,000만 달러의 BONK에 대해, 공격자는 대부분 즉시 현금화하지 않았다. Chainalysis에 따르면, 약 9시간 후, 그 중 약 18.8만 달러만 거래소로 송금되었고(현금화에 사용될 가능성 있음), 나머지 약 1,900만 달러는 다중 서명 승인이 필요한 "다중 서명 지갑"에 보관되었다; 이 기간 동안 자금은 "eh42"로 끝나는 다른 주소로도 한때 이동되었다.

처음 표를 사기 위해 구매한 BONK에 대해서는 공격자가 급히 처분했다: 국고를 비운 지 약 한 시간 후, 이 토큰을 매각하기 시작하여 약 530만 달러를 판매했다. 다시 말해, 공격자는 탈취한 국고 토큰은 남겨두었지만, 국고를 탈취하기 위해 사용한 보유량은 신속하게 처분했다.

거래소와 공식 기관도 즉시 반응했다. Upbit과 Kraken은 보안 사건 절차에 따라 BONK의 입출금을 중단했다; BonkDAO 공식은 법 집행 기관에 통보했으며, 공격자가 투표 전에 사용한 거래소 지갑을 잠금 처리하고, 거래소, 크로스체인 브리지 및 Solana 재단과 협력하여 자금을 회수하고 책임 소재를 명확히 하고 있다고 밝혔다.

결론

이번 사건은 오래된 논쟁을 다시 불러일으켰다. 모든 단계에서, 토큰 구매, 투표, 자금 배분이 기술적으로 합법적이고 유효한 거래였기 때문에 일부 체인 관찰자들은 공격자가 취약한 거버넌스 설계를 이용했을 뿐 "침입한" 것이 아니라고 주장한다; 그러나 BonkDAO와 여러 분석 기관은 여전히 이를 명확히 공격으로 규정하고 있으며, 법 집행 기관의 개입도 이러한 입장을 반영하고 있다.

체인 거버넌스는 몇 년 전 커뮤니티 자치의 미래로 여겨졌으며, 토큰 보유자가 회사 고위층이 아닌 자금의 방향을 결정하는 이상을 상징했다. 그러나 BonkDAO 사건은 암호화 산업의 핵심 문제를 다시 지적한다: 금고의 열쇠를 "누구나 돈을 쓸 수 있는" 공개 투표에 맡기는 경우, 충분한 검증 메커니즘이 결여된다면, 예를 들어 제안 내용의 실질적 검토, 더 높은 통과 기준, 자금 배분 전의 시간 잠금 및 인적 검토 등이 없다면, 아무리 정당한 거버넌스 이상도 공격자에게 가장 유리한 도구가 될 수 있다.

Join ChainCatcher Official
Telegram Feed: @chaincatcher
X (Twitter): @ChainCatcher_
warnning 위험 경고
app_icon
ChainCatcher Building the Web3 world with innovations.