심층 분석 Compound 거버넌스 공격 뒤의 세부 사항 및 목적: 거대한 고래가 다시 전통적인 DeFi를 차지하다

작성자 ：@Web3Mario

요약 ：지난 주말 비트코인 컨퍼런스가 끝나면서 관련 회의 세부사항이 계속해서 공개되고 있습니다. 기본적으로 저의 이전 판단과 크게 다르지 않습니다. 예를 들어, 트럼프가 에너지 정책으로 비트코인 애호가들을 끌어들이려는 전략과 공식적인 태도의 변화, 특히 소위 전략적 비축에 대한 발언을 통해 상품으로서의 가치를 강조하는 점입니다. 제가 예상하지 못한 것은 이번 연설이 전형적인 "트럼프식" 선거 집회로 변모했다는 점입니다. 그는 논리적 증명이 없는 의견과 정보를 사용하여 상대를 공격하는 것을 좋아하는데, 이는 그가 제시한 몇 가지 약속의 진정성에 대해 의구심을 불러일으킵니다. 그러나 기본적으로 이 사건은 일단락된 것으로 보이며, 필자는 다른 사건에 주목하게 되었고, 흥미로운 정보를 발견했습니다. Compound가 거버넌스 공격을 받았다는 것입니다. 필자는 이전에 오랜 시간 DeFi에 대해 연구했기 때문에 이 정보에 매우 관심이 많았고, 이 사건의 배경과 실행 세부사항을 깊이 연구하여 여러분과 공유하고자 합니다. 전반적으로 Compound가 겪은 거버넌스 공격은 DeFi의 거대 고래가 거버넌스 투표를 통해 Compound Treasury에 있는 유휴 Comp 토큰의 거버넌스 권한을 강제로 차지하려는 시도로, 이를 통해 Compound 프로토콜을 완전히 제어하려는 것입니다.

성공적으로 Balancer를 차지한 전설의 고래 Humpy가 다시 출동하다

사실 이것은 이 전설적인 고래의 첫 번째 작품이 아닙니다. 이전에 이 고래는 2022년 DeFi Summer 시대에 Balancer에 대한 거버넌스 공격을 감행했습니다. 그는 대량의 BAL 거버넌스 토큰을 장악하고 Balancer의 veBAL 메커니즘을 통해 대부분의 BAL 유동성 풀에 대한 인센티브 배포를 통제함으로써 Balancer를 지배하게 되었습니다. 현재까지 Humpy는 BAL 토큰의 두 번째로 큰 보유자가 되었으며, 공식 팀에 이어 두 번째입니다.

이 고전적인 사건에 대해 Messari는 매우 훌륭한 연구 보고서를 작성했습니다. 관심 있는 분들은 자세히 읽어보시기 바랍니다. Balancer의 veBAL 메커니즘에 대해 얼마나 많은 분들이 알고 계신지 모르겠지만, 간단히 회고해보면, 당시 DeFi Summer 시기에는 각 제품의 혁신 방향이 좋은 토크노믹스를 설계하여 성장을 이루는 데 집중하고 있었습니다. Curve는 당시 스테이블코인의 핵심 DEX로서 veCRV 메커니즘을 최초로 도입하여 상당한 성과를 거두었습니다. 그래서 veToken은 DEX 제품의 토크노믹스 설계 패러다임으로 자리 잡았습니다.

유사한 스타 프로젝트 중 하나인 Balancer는 혁신의 병목 현상에 직면하여 veBAL 메커니즘을 도입하기로 결정했습니다. 이 메커니즘의 본질은 제품 내의 경쟁 자원을 투표 거버넌스를 통해 조정하여 광범위한 매수 장면을 생성하고, 거버넌스 참여자에게 수익을 제공하며, 커뮤니티의 적극적인 참여를 유도하는 것입니다. 이는 거버넌스 토큰에 적절한 가치 지지를 제공하며, 당시 시장에서는 "거버넌스 가치 추출"이라는 용어로 설명되었습니다.

DEX 분야에서 이 경쟁 자원은 공식적으로 운영되는 유동성 풀에 배정된 거버넌스 토큰의 유동성 인센티브 보상을 의미합니다. 각 유동성 풀에 배정된 보상의 비율은 투표 거버넌스를 통해 결정되며, 투표권을 얻으려면 자신의 거버넌스 토큰을 오랜 기간 동안 잠궈야 합니다. 이는 시장에서의 유통량을 줄여 시가총액의 성장을 촉진합니다. 어떤 유동성 풀이 더 많은 투표를 받으면 더 많은 BAL 인센티브를 배정받게 되며, 이는 제3자 프로젝트가 자신의 토큰의 유동성 성장을 자극하기 위해 veBAL 투표권을 가진 사용자에게 자신의 토큰으로 뇌물을 주도록 유도할 수 있습니다. 물론 이 과정은 일반적으로 전문 DAPP을 통해 이루어집니다. 그러나 Balancer의 veBAL 설계에는 Humpy가 발견하고 이용한 잠재적 위험이 존재합니다.

우리는 DEX의 핵심 비즈니스 모델이 거래 수수료라는 것을 알고 있습니다. 더 많은 거래자를 유치하기 위해 DEX는 유동성을 확대하려고 노력하며, 낮은 슬리피지 거래 경험을 통해 사용자를 끌어들입니다. 따라서 veBAL의 설계는 이 핵심 목표인 수수료 확대와 분리될 수 없습니다. 그러나 초기 설계에서는 유동성 풀의 유형에 제한을 두지 않고, 풀의 총 투표 수에만 의존했습니다. 이는 한 풀이 어떤 수단을 통해 충분한 veBAL 투표를 얻을 수 있다면, 거래량이 전혀 없는 풀이라도 상당한 비율의 BAL 유동성 인센티브를 배정받을 수 있다는 문제를 초래했습니다. 이는 고래에게 기회를 제공했습니다. 그래서 Humpy가 등장했습니다.

Humpy의 핵심 공격 전략은 두 부분으로 나뉩니다. 첫째, 특정 풀의 유동성에 대한 절대적인 통제권을 확보해야 하며, 이를 통해 유동성 채굴 과정에서 대부분의 보상을 얻을 수 있습니다. 둘째, 자신이 통제하는 풀에 대량의 투표를 확보하여 BAL 인센티브 배분의 대부분을 장악해야 합니다. 이를 통해 프로토콜에 대한 통제를 실현할 수 있습니다. 따라서 그는 거래가 비활성화된, 그러나 시가총액이 과대평가된 프로젝트의 토큰을 매입하여 잠재적인 경쟁자를 줄이고, 두 번째로 수수료가 매우 높은 유동성 풀(1%)을 구축하여 사용자의 거래 의사를 낮추었습니다. 이를 통해 그는 특정 유동성 풀에 대한 절대적인 통제를 달성했습니다. 이후 그는 2차 시장에서 대량의 BAL 토큰을 구매하고 이를 스테이킹하여 veBAL을 얻고, 자신의 유동성 풀에 투표하여 대부분의 BAL 배정을 받았습니다. 그러나 이러한 인센티브의 배출은 Balancer를 더 좋게 만들지 않았습니다. 더 많은 수수료가 발생하지 않았기 때문입니다. 단지 Humpy에게 유리했을 뿐입니다. 이것이 바로 고래의 이익과 프로젝트의 장기 발전 방향이 상충하게 되는 원인입니다.

실제 실행 과정에서 Balancer의 공식 팀도 가만히 있지 않았습니다. 그들은 새로운 제안을 통해 Humpy의 흡혈귀 공격에 반격했습니다. 예를 들어, 유동성 인센티브를 받을 수 있는 풀의 범위를 지정하고, 해당 범위를 확대하기 위해서는 공식적인 신청과 승인을 받아야 하며, 단일 풀에 배정될 수 있는 보상의 비율에 상한선을 설정하는 등의 조치를 취했습니다. 그러나 최종적으로 일련의 대결을 통해 Balancer와 Humpy는 화해에 이르렀습니다. 그러나 결과적으로 Humpy가 이러한 수단을 통해 Balancer에 대한 통제를 점차 실현하는 것을 막지 못했습니다. 개인적으로 두 번째로 큰 보유자가 된 것은 가장 직접적인 결과입니다. 이는 그가 최근 Compound에 대한 공격을 감행하는 데에도 기초가 되었습니다.

Compound Treasury에서 대량의 유휴 COMP의 거버넌스 권한을 강제로 차지하여 Compound를 차지하다

위 사건은 2022년에 발생했으며, 2년의 침묵을 깨고 Humpy는 또 다른 오래된 DeFi에 대한 공격을 시작했습니다. 이것이 최근 발생한 사건입니다. 이번에는 veBAL과는 관련이 없으며, Compound Treasury에 있는 대량의 유휴 COMP에 대한 거버넌스 권한을 노리고 있습니다.

이번에는 전체 게임에 직접 참여하지 않고, Golden Boys라는 프로젝트(물론 조직이라고도 할 수 있습니다)를 포장하여 조작을 진행했습니다. 이 프로젝트는 실제로 금융 속성을 가진 밈입니다. 무슨 뜻이냐면, 그 핵심 제품은 $GOLD라는 ERC-20 토큰으로, 공식적으로는 보유자에게 문화적 속성 외에 몇 가지 기대를 부여했습니다. 전체 웹사이트와 블로그의 소개에서 강조하는 점은 $GOLD의 가치는 Humpy라는 고래가 다년간의 경험과 대량의 자금 및 자원 우위를 통해 유지된다는 것입니다. $GOLD를 보유하는 것은 고래의 등에 올라탄 것과 같습니다. 그러나 실제로 그는 구조화된 재무 관리나 수익 집합 등의 제품 설계를 가지고 있지 않았습니다. 단지 $GOLD와 일부 주요 토큰에 대해 유동성 인센티브를 배정했을 뿐입니다. 이러한 인센티브는 일부는 직접 발행된 $GOLD이고, 일부는 BAL 보상입니다. 이는 Humpy가 Balancer에 미치는 영향력 덕분에 그가 보유한 대량의 veBAL로 인해 상대적으로 높은 유동성 채굴을 배정받을 수 있었습니다(이 연구를 하면서 빼앗기는 것이 얼마나 어려운지 감탄하게 됩니다).

모든 준비가 끝난 후, 그는 goldCOMP Vault라는 새로운 Vault 제품을 만들었습니다. 간단히 말해, 사용자는 자신의 COMP를 이 Vault에 스테이킹하여 Golden Boys에게 자신의 거버넌스 권한을 양도하고, goldCOMP라는 스테이킹 증명서를 받습니다. 이는 유통 가능한 증명서로, 사용자는 이 증명서를 Balancer의 99goldCOMP-1WETH 유동성 풀에 유동성 제공으로 사용할 수 있습니다. 여기서 99와 1은 각각의 비율을 나타내며, 이는 goldCOMP의 거래 슬리피지가 극히 낮고, 사실상 무상 손실이 없음을 의미합니다.

유동성을 스테이킹한 후에는 $GOLD의 유동성 인센티브를 받을 수 있습니다. 여기서 보상은 BAL이 아니라 GOLD입니다. 이는 GOLD를 인센티브로 선택하는 것이 Golden Boys가 해당 풀의 이자율을 통제하는 데 더 유리하기 때문입니다. 어차피 모두 자신이 통제하는 것입니다. 현재 이자율 수준은 180%이며, TVL은 아직 높지 않습니다. 그러나 제가 잘 모르고 있는 것은 Balancer가 언제 제3자 토큰을 직접 스테이킹 인센티브로 공식 웹사이트에 표시하는지를 모릅니다. 프로젝트 진행 상황을 따라잡지 못한 지 오래되었습니다. 만약 공식적으로 공개 설정할 수 있는 작업이 아니라면, 다시 한 번 빼앗기는 것에 대한 무력감을 느낄 수밖에 없습니다!

이 모든 준비가 끝난 후, Golden Boys는 Compound에 대한 거버넌스 공격을 시작했습니다. 그들은 올해 5월에 첫 번째 제안을 시작했으며, 제안의 내용은 Compound Treasury에서 통제하는 COMP의 5%, 즉 92,000개의 COMP를 Golden Boys의 멀티시그 지갑으로 이전하고, 멀티시그 지갑을 통해 goldCOMP Vault에 스테이킹하여 유동성 채굴 수익을 얻고, 1년 동안 잠금하는 것이었습니다. 물론 이 과정에서 Golden Boys는 이러한 토큰 뒤에 있는 거버넌스 권한을 얻기 위해 움직였습니다. 의심할 여지 없이 이 제안은 통과되지 않았습니다. 왜냐하면 이 상호작용 객체가 다소 간단하고 실제 비즈니스 지원이 없으며, 전체 토큰이 배정된 후의 작업이 멀티시그 지갑에 기반하고 있어 인위적인 악의 가능성이 더 커 보였기 때문입니다. 따라서 커뮤니티 내에서도 광범위한 부정적인 반응이 일어났습니다.

그러나 Humpy는 낙담하지 않고 커뮤니티 구성원과 대화하기로 선택했습니다. 그는 전체 과정을 Compound timelock 계약을 통해 어떤 멀티시그 지갑이 이 토큰을 사용할 수 있도록 승인받으면 이러한 문제를 완화할 수 있다고 주장했습니다. 그래서 7월 20일에 두 번째 제안을 시작했습니다. 이번 제안의 금액은 여전히 변하지 않았지만, Trust Setup 계약을 설정하여 위의 효과를 실현하고 멀티시그 지갑을 감독하겠다는 추가 작업을 보완했습니다. 그러나 필자가 실제로 해당 계약의 코드를 읽어보니, 단순히 세 가지 상태를 설정했을 뿐입니다. Compound timelock이 해당 계약의 상태를 투자 허용으로 변경하면 멀티시그 지갑은 이 토큰을 자유롭게 사용할 수 있습니다. 물론 이 제안도 부결되었지만, 찬성표가 눈에 띄게 증가했습니다. 이는 마치 Golden Boys가 계속해서 제안을 최적화하고 있으며, 점점 더 많은 동의를 얻고 있다는 잘못된 인상을 주는 것처럼 보였습니다. 오늘, 세 번째 제안이 통과되면서 모든 사람이 놀라게 되었습니다.

여러분은 오늘 통과된 제안이 핵심적으로 다른 점이 있다는 것을 주목해야 합니다. 이번 제안에서 요청한 COMP 자금량은 더 이상 92,000개가 아니라 과장된 499,000개입니다. 그러나 이번에는 커뮤니티가 Humpy의 "음모"를 쉽게 물리칠 것이라고 확신했지만, 결과는 사람들을 놀라게 했습니다. 이 제안은 미세한 차이로 통과되었으며, 찬성표는 단 10일 만에 6배로 증가했습니다. 이는 분명히 커뮤니티가 예상하지 못한 일이었습니다. 이는 Humpy가 정교하게 계획한 조작임이 분명합니다. 만약 예상대로 진행된다면, 이 제안의 통과와 함께 Humpy는 실제로 Compound의 소유자가 되어 모든 제안을 주도하게 될 것입니다. 현재 그의 자산량이 상대방을 초과할 만큼 충분하며, 새로 얻은 499,000개의 COMP에 해당하는 투표권을 더하면, Compound는 의심할 여지 없이 차지될 것입니다.

이 사건이 초래한 영향은 전례가 없습니다. 모든 DeFi 제품은 유사한 문제에 직면하지 않도록 거버넌스 모델을 재검토해야 합니다. 저는 앞으로의 동향을 지속적으로 주시할 것입니다. Compound 커뮤니티도 반드시 저항할 것이라고 믿습니다. 결국 이 갈등이 어떻게 발전할지는 Balancer의 전례를 고려할 때 쉽게 말할 수 없습니다.