거버넌스 공격을 피하기 위한 블루칩 DeFi의 거버넌스 경험

저자: 0xEdwardyw, Tokeninsight

암호화폐 분야에서는 프로토콜에 대한 공격이 가끔 발생하는데, 그 중 하나가 거버넌스 공격이다. 공격자는 프로토콜의 거버넌스 권한을 성공적으로 획득하고, 대량의 토큰을 발행하며, 프로토콜 금고의 모든 자산을 탈취한다. 최근 사건은 2월에 발생했으며, 한 벤처 캐피탈 DAO인 Build Finance가 거버넌스 공격을 당해 프로토콜이 완전히 실패했다. 이 글에서는 몇 가지 블루칩 DeFi의 거버넌스 메커니즘을 비교하여, 이들이 어떻게 거버넌스 공격을 피하는지 살펴보겠다.

다양한 수준의 탈중앙화 거버넌스 정도

출처: OurNetwork: Deep Dive #2 -- Governance Extractable Value

프로토콜이 발전하는 초기에는 권한이 개발 팀에 의해 관리되며, 단일 키로 제어된다. 이 경우 거버넌스 공격의 가능성은 없다. 프로토콜이 발전함에 따라 개발 팀은 일부 권한을 점진적으로 분산시키고, 프로토콜은 다중 서명 형태로 관리된다. 다중 서명을 제어하는 사람은 개발 팀, 커뮤니티의 주요 참여자 또는 주요 투자 기관 등이 포함될 수 있다. 이러한 상황은 팀이 프로토콜을 완전히 제어하는 것과 본질적으로 다르지 않으며, 신뢰할 수 있는 이해관계자들이 함께 거버넌스를 수행하므로 거버넌스 공격이 여전히 발생할 수 없다.

프로토콜이 더욱 탈중앙화된 거버넌스로 발전함에 따라, 거버넌스 토큰을 발행하여 거버넌스 권한을 완전히 분산시키고, 프로토콜의 중요한 변경 사항은 거버넌스 토큰을 통해 체인 상에서 투표로 결정된다. 투표를 통과한 거버넌스 제안은 미리 설정된 절차에 따라 자동으로 실행되며, 이때 거버넌스 공격 문제가 발생할 수 있다. 프로토콜은 거버넌스 공격을 피하기 위해 신중하게 거버넌스 메커니즘을 설계해야 한다.

Build Finance의 거버넌스 공격 사례

Build Finance는 DAO에 의해 거버넌스되는 프로토콜로, 거버넌스 토큰 보유자는 토큰을 발행하고 금고를 사용할 수 있는 투표를 할 수 있다. 2월 9일, 프로토콜의 Discord에서 커뮤니티 중재자가 악의적인 거버넌스 제안이 제기되었다고 알렸다. 이 제안이 통과되면 공격자가 프로토콜 토큰을 자유롭게 발행할 수 있게 된다. 커뮤니티는 성공적으로 이 제안을 부결시켰고, 첫 번째 거버넌스 공격은 실패했다.

공격자는 보유한 토큰을 다른 지갑으로 전송한 후 두 번째 제안을 시작했다. 이번에는 프로토콜의 Discord 봇이 새로운 제안을 감지하지 못했다(정상적인 경우 봇은 새로운 제안을 감지하고 특정 논의 구역에 해당 제안을 올려야 한다). 이 거버넌스 제안은 커뮤니티의 주목을 받지 못한 채 2월 10일에 통과되었다.

Build 프로토콜은 2일의 시간 잠금이 있으며, 거버넌스 공격 제안이 2월 10일에 통과되었다. 개발 팀은 2월 14일 Twitter에서 공격자가 DAO와 토큰 발행 권한을 완전히 제어하고 110만 개의 토큰을 발행했다고 발표했다. 공격자는 모든 새로운 토큰을 DEX에서 매각하였고, 프로토콜 토큰은 무가치해졌다.

Build Finance의 Medium 페이지에 따르면, 이 프로토콜은 Governor Bravo 거버넌스 메커니즘을 채택하고 있다. Governor Bravo는 Compound Finance에 의해 만들어진 성공적인 거버넌스 메커니즘으로, 많은 블루칩 DeFi에서 채택하고 있으며, Uniswap과 AAVE를 포함한다.

Governor Bravo는 프로토콜의 제어권과 금고 자금을 이전할 수 있도록 허용하므로, 공격자는 프로토콜의 모든 거버넌스 권한을 획득할 기회를 갖게 된다. 블루칩 DeFi 프로토콜에서 널리 채택되고 있지만, 이 거버넌스 메커니즘 자체는 거버넌스 공격의 발생을 막을 수 없다.

성공적인 거버넌스 모델 Governor Alpha & Bravo

Compound Finance의 Governor Alpha 및 업데이트된 버전인 Governor Bravo 거버넌스 모델은 많은 DeFi 프로토콜에서 널리 사용된다. Governor Bravo의 거버넌스 프로세스는 다음과 같다:

출처: Compound

거버넌스 제안을 제출하려면 65,000 $COMP가 필요하며, 제출된 제안은 2일의 검토 기간이 있다. 이후 3일의 투표 기간이 있으며, 동의 투표가 절반을 초과하고 400,000 이상의 투표 수가 있을 경우 제안이 통과되어 시간 잠금에 들어간다. 시간 잠금은 2일이며, 이후 제안은 프로토콜에 의해 자동으로 실행된다.

Uniswap은 Governor Bravo 거버넌스 메커니즘을 사용하며, 거버넌스 프로세스는 Compound와 유사하다. Uniswap은 거버넌스 제안 제출 및 통과의 기준을 대폭 높였다. 제안 제출에는 250만 $UNI 토큰이 필요하며, 2월 21일 가격 기준으로 약 2,500만 달러에 해당한다. 총 투표 수는 4,000만 $UNI에 도달해야 하며, 이는 거의 4억 달러의 가치에 해당한다.

AAVE -- Governor Bravo 수정판

AAVE의 거버넌스 모델은 Governor Bravo와 유사하지만 두 가지 요소가 추가되었다. 첫 번째는 시간 잠금을 빠른 것과 느린 것으로 나누는 것이다. 중요성이 낮고 위험이 적은 거버넌스 제안은 빠른 시간 잠금을 통해 신속하게 실행될 수 있다. 반면에 영향이 큰 제안은 느린 시간 잠금을 거쳐 커뮤니티가 반응할 수 있는 충분한 시간을 제공한다. 예를 들어, 거버넌스 공격 제안이 통과되었다면, 느린 시간 잠금은 커뮤니티가 어떻게 구제할지, 전체 프로토콜을 포크하여 새로운 주소를 만들지 결정할 충분한 시간을 제공한다.

출처

또 다른 중요한 요소는 AAVE의 다중 서명 수호자(AAVE Guardian)이다. Governor 메커니즘에는 일시 중지(Pause) 기능이 있다. 일시 중지는 프로토콜의 발행, 대출, 전송, 청산 기능을 중단할 수 있지만, 일시 중지는 거버넌스 공격자가 충분한 수의 토큰을 사용하여 거버넌스 제안을 통과시키는 것을 막을 수 없다. AAVE의 수호자 기능은 제안이 실행되지 않은 상태에서 직접 취소할 수 있도록 허용하며, 전체 프로세스의 어느 지점에서든 직접 취소할 수 있다. 수호자 기능은 악의적인 거버넌스 제안을 가장 효과적으로 방지할 수 있다.

안전 조치

Governor Bravo의 많은 요소는 이미 거버넌스 분야의 황금 기준이 되었으며, 다른 프로토콜이 얼마나 다른 거버넌스 메커니즘을 채택하더라도, 이러한 요소를 어느 정도 포함하고 있다.

1. 시간 잠금: 거의 모든 프로토콜이 시간 잠금을 채택하고 있다. 제안이 통과된 후 시스템이 실행되기까지의 완충 시간은 커뮤니티와 토큰 보유자가 반응할 시간을 제공한다. 이론적으로, 프로토콜의 사용자와 토큰 보유자가 특정 제안에 대해 반대 의견이 있을 경우, 시간 잠금 기간 내에 프로토콜에서 탈퇴하고 토큰을 판매할 수 있다. 시간 잠금이 길수록 프로토콜의 보호가 강화되지만, 너무 긴 시간 잠금은 갑작스러운 시스템 문제 발생 시 단기간 내에 수정할 수 없게 된다.

2. 제안 통과에 대한 높은 요구 사항 설정: Uniswap의 경우, 제안 통과에 필요한 토큰 가치는 매우 높아, 거버넌스 공격의 비용이 극도로 높다. 또한, Uniswap의 금고에는 전부 $UNI 토큰이 포함되어 있어, 공격이 성공하더라도 금고를 통제하게 되면 $UNI의 시장 가격이 급격히 하락하여 공격자의 수익이 초기 비용을 초과하지 못할 수 있다.

출처: Tokeninsight Annual DeFi report

3. 다중 서명 수호자: 악의적인 거버넌스 제안이 발견되면, 이는 거버넌스 공격을 막는 가장 효과적인 방법이다. 그러나 탈중앙화 거버넌스 프레임워크 내에서 이러한 과도한 권한을 누구에게 부여할지는 문제이다. AAVE는 커뮤니티 투표를 통해 10명의 수호자 멤버를 결정하며, 그 중 5명이 동의할 경우 어떤 제안도 부결할 수 있다.

MakerDAO의 투표 메커니즘

MakerDAO는 위의 Governor 거버넌스 메커니즘과 완전히 다른 투표 방식을 가지고 있다. Governor에서는 거버넌스 토큰 보유자가 특정 거버넌스 제안에 대해 투표하며, 최종적으로 통과되든 부결되든 이 투표 프로세스는 종료되고 거버넌스 토큰은 반환된다.

MakerDAO는 지속적인 동의 투표제(continuous approval voting)를 사용한다. 특징은 특정 제안에 대해 거버넌스 토큰 $MKR로 투표할 때, 이 제안이 통과되고 실행된 후에도 당신의 $MKR는 여전히 이 제안 내에 남아 있으며, 다른 투표 메커니즘처럼 거버넌스 토큰이 자동으로 반환되지 않는다. 당신이 보유한 $MKR는 특정 제안에 대해서만 투표할 수 있으며, 재투표는 불가능하다. 따라서 새로운 제안에 대해 투표하고 싶다면, 수동으로 $MKR를 이전 제안에서 꺼내야 한다.

새로운 제안이 통과되기 위한 조건은 투표 수가 이전에 성공적으로 통과된 제안보다 많아야 한다.

출처: MakerDao

예를 들어, 2022년 2월 25일의 제안은 82,001.5 $MKR의 투표를 받아 통과되어 실행 대기 중이다. 이때 새로운 제안에 대해 투표해야 할 경우, 새로운 제안이 통과되기 위해 필요한 투표 수는 82,001.5 $MKR가 된다(위 그림 오른쪽 시스템 정보 참조).

더 이전에 투표를 통과하고 실행된 제안, 예를 들어 2022년 1월 24일에 통과되어 1월 26일에 실행된 제안이 있다. 우리는 여전히 20,050개의 $MKR가 이 제안에 남아 있어 수동으로 꺼내지지 않았음을 볼 수 있다.

이러한 투표 방법은 새로운 제안이 통과되는 문턱을 높인다. 많은 $MKR가 이전 제안에 남아 있기 때문에, 시장에서 투표할 수 있는 토큰 수가 줄어들어 새로운 제안이 통과되기 위해서는 사용자가 이전 제안에서 투표를 수동으로 꺼내도록 유도해야 한다.

Curve의 Vote-Lock 거버넌스 메커니즘

Governor Bravo와 MakerDAO의 지속적인 동의 투표제에서, 각 거버넌스 토큰은 한 표를 나타낸다. 거버넌스 토큰은 공개 시장에서 거래할 수 있으며, 대출 프로토콜에서 빌릴 수도 있다. 이론적으로, 충분한 담보가 있다면, 예를 들어 $ETH가 있다면, 충분한 거버넌스 토큰, 예를 들어 $UNI를 빌릴 수 있다. 빌린 거버넌스 토큰으로 거버넌스 공격을 시작할 수 있으며, 이 경우 비용 문제를 걱정할 필요가 없다. 만약 $UNI가 무가치해지면, 공격자는 비용 없이 대출 프로토콜에 반환할 수 있다.

vote-lock 메커니즘에서는 거버넌스 토큰 자체에 투표권이 없으며, $CRV를 스테이킹하여 veCRV로 잠금해야 투표권을 얻는다. 잠금 기간은 최대 4년까지 가능하며, 잠금 기간이 길수록 투표권이 커지고, 잠금 기간이 지나면서 투표권은 감소한다. 이는 시장에서 빌린 $CRV로 투표하는 가능성을 크게 낮춘다.

ve 메커니즘의 인기

작년부터 veto-lock(ve 메커니즘)이라는 거버넌스 메커니즘의 인기가 급속히 상승하며, 많은 신규 프로젝트에서 채택되고 있다. 그 중 하나의 예는 유동성을 서비스로 제공하는 프로젝트인 Izumi Finance이다. Curve와 유사하게, Izumi는 두 종류의 토큰인 $iZi와 veiZi를 가지고 있다. $iZi 보유자가 스테이킹하여 잠금하면 거버넌스 권한이 있는 veiZi를 얻으며, veiZi는 거래 및 양도가 불가능하다. 거버넌스 권한은 잠금 기간에 비례하여 변화한다.

새로운 ve 메커니즘의 등장

원래의 ve 메커니즘은 거래 및 양도가 불가능하며, 최근 Izumi Finance와 Andre Cronje가 지원하는 Solidly 프로젝트가 새로운 모델인 veNFT를 시도하고 있다.

Izumi Finance의 $iZi를 스테이킹하여 잠금하면 veiZi NFT를 얻게 된다. 원래의 거버넌스 토큰은 여전히 거래할 수 없지만, 거버넌스 권한을 나타내는 NFT는 NFT 시장, 예를 들어 Opensea에서 거래할 수 있다. 이 방법은 ve 메커니즘의 자본 활용 효율성 문제를 해결하지만, 거버넌스 안전성에 어떤 영향을 미칠지는 아직 관련 논의가 없다.

결론

블루칩 DeFi 프로토콜에서 사용하는 거버넌스 메커니즘은 시간의 시험을 견뎌왔지만, 완벽하지 않으며 문제는 여전히 가끔 발생한다. 100% 안전한 거버넌스 메커니즘은 없으며, 안전성은 다양한 종류의 메커니즘이 결합되어 이루어진다. 여기에는 좋은 거버넌스 메커니즘, 활발한 커뮤니티, 그리고 거버넌스 공격을 반격하기 위한 경제적 인센티브 메커니즘이 포함되어 있어, 공격의 잠재적 수익이 비용을 초과할 수 없도록 한다.

위험 관리 분야에는 스위스 치즈 이론이 있다. 치즈의 각 조각은 하나의 위험 관리 조치를 나타내지만, 각 조각에는 많은 작은 구멍이 있으며, 이는 각 조치가 약점을 가지고 있음을 의미한다. 이러한 치즈 조각을 쌓아 올리면, 다른 조각이 다른 조각의 작은 구멍을 덮을 수 있어, 위험 사건이 모든 조각을 관통할 확률이 크게 줄어든다.

출처: https://thedecisionlab.com/reference-guide/management/swiss-cheese-model/

Build Finance와 같이, 공격자의 첫 번째 거버넌스 공격은 커뮤니티에 의해 부결되었고, 두 번째 공격은 커뮤니티가 주목하지 않아 제안이 통과되었다. 활발한 커뮤니티는 이러한 공격이 성공하지 못하도록 하는 위험 방어선이다. 또 다른 예로, 거버넌스 공격의 비용이 지나치게 높아, 아예 시도하지 않을 수도 있다.

클릭하여 TokenInsight APP 다운로드