COMP 2500 달러 거버넌스 공격 복기, DeFi 프로토콜이 왜 여러 차례 DAO 공격을 받는가?

저자： 시유 , ChainCatcher

편집： 마르코 , ChainCatcher

7월 29일, "49.9만 개의 COMP 토큰 가치 2500만 달러"가 커뮤니티 투표로 "합법적으로" Compound 국고에서 낯선 감시할 수 없는 다중 서명 주소로 이전되면서 DAO 거버넌스 공격 논란이 일어났다.

COMP 이전 제안이 통과된 후, COMP 토큰 가격은 24시간 내에 거의 7% 하락하여 50달러에서 46.6달러로 떨어졌다.

7월 30일, Compound 성장 책임자 브라이언 콜리건은 이번 제안의 배후에 있는 거대한 고래와의 대화 후, COMP 토큰의 스테이킹 제품인 Stake COMP(약칭 stCOMP)를 출시한다고 발표했다. 이 제품은 Compound DAO에 의해 관리되며, Compound 프로토콜의 향후 매년 새로운 시장 준비금의 30%가 COMP 스테이커에게 배분될 것이라고 하여 이 제안을 철회하는 조건으로 제시되었다.

현재 "가치 2400만 달러 COMP 이전" 289 제안은 취소되었으며, 이 소식의 영향으로 COMP 토큰은 하루 동안 13% 이상 상승하여 현재 가격은 51.4달러이다.

논란의 시작과 끝: 세 번의 제안 끝에 최종 통과

7월 29일, DeFi 대출 프로토콜 Compound 커뮤니티에서 국고 자산 COMP 이전에 관한 제안이 통과되면서 커뮤니티 구성원들은 거버넌스 공격에 대한 비난을 제기했다. 289 제안은 Compound 국고 자금의 5% (약 2400만 달러 가치의 49.9만 개 COMP 토큰)를 Golden Boys가 설계한 수익 프로토콜 goldCOMP로 이전하는 것을 제안했다.

제안 정리를 통해 "49.9만 개의 COMP 토큰을 새로운 프로토콜로 이전"하는 제안이 한 번에 통과되지 않았고, 두 번의 취소와 동기 의혹을 거쳐 세 번째 제안에서 간신히 승인되었다.

"국고의 5% COMP를 goldCOMP 프로토콜에 투자"하는 제안은 5월 6일 제안 247에서 처음 등장했으며, 이 제안은 Compound 국고가 보유한 COMP의 5%를 Golden Boys가 만든 goldCOMP 프로토콜에 투자할 것을 제안했지만, 제안 투표 참여 인원이 법정 인원에 미치지 못해 취소되었다.

7월 15일, 커뮤니티 제안 279에서 다시 "DAO 투자를 위한 GoldCOMP 신탁 설정"이 등장했으며, 이 제안에서는 Golden Boys가 만든 goldCOMP 프로토콜이 COMP 대리인에게 수익을 제공할 수 있으며, 국고에서 9.2만 개의 COMP를 해당 프로토콜로 이전하여 1년 동안 수익을 얻는 것을 제안했다. 7월 20일 법정 인원에 미치지 못해 이 제안은 취소되었다.

7월 24일, 제안 289에서 다시 "DAO 투자 GoldCOMP의 신탁 설정" 정보가 등장했으며, 이 제안은 국고의 49.9만 개 COMP 토큰을 GoldCOMP 프로토콜에 투자하는 것을 제안했다.

하지만 5월에 발표된 247 제안 이후, 보안 회사 OpenZeppelin은 커뮤니티 포럼에서 이것이 거버넌스 공격일 수 있다고 경고했다.

그는 247 제안이 국고의 5% COMP 토큰을 "Golden Boys"가 통제한다고 주장하는 다중 서명으로 이전하고, 자금을 goldCOMP 프로토콜에 투자하는 것을 제안했지만, 제안자는 커뮤니티에 자신의 신원을 밝히지 않았고, 제안은 사전에 포럼에서 논의되지 않았기 때문에 이는 거버넌스 공격일 수 있다고 설명했다.

Wintermute의 거버넌스 계정도 포럼이나 커뮤니티 논의 없이 직접 체인 상 제안을 제출하는 것은 반대된다고 밝혔으며, COMP를 다중 서명으로 이전하고 DAO의 통제를 벗어나는 이유에 대한 충분한 설명이 없었다고 지적했다.

후속 "신탁 설정" 제안에서 Wintermute는 이 행동이 실제로 자금 이전을 방지하는지에 대해 의문을 제기하며, 모든 형태의 철회 행동(철수)은 GoldenBoyzMultisig에 의해 완전히 통제되므로 DAO가 자금을 스스로 회수할 수 없다고 썼다.

여러 장애물과 의혹을 거쳐 "49.9만 개의 COMP 토큰을 GoldCOMP 프로토콜에 투자"하는 제안은 결국 7월 29일 68.2만 표 찬성, 63.3만 표 반대로 승인되었다.

비록 제안이 합법적인 절차였지만, Compound 커뮤니티 사용자들은 "49.9만 개의 COMP가 미지의 프로토콜로 이전"되는 제안의 통과에 대해 많은 의문과 우려를 제기했다. 왜 커뮤니티 포럼에서 공개 논의 없이 COMP 국고 자산 이전 제안이 통과되었는가? 투표에 조작이 있었는가? goldCOMP 프로토콜로 이전된 COMP 토큰의 안전성은 어떻게 되는가? 자금이 도망칠 가능성이 있는가? 등등.

OpenZeppelin의 보안 솔루션 아키텍트이자 Compound의 보안 고문인 마이클 루웰렌은 X에서 여러 계정이 공개 시장에서 COMP 토큰을 대량 구매하고, COMP 보유량을 Golden Boys가 만든 goldCOMP 제품으로 이전하려는 여러 제안을 제기했다고 지적하며, COMP 토큰 수를 통제하여 강제로 승인 절차를 통과시키려 했다고 밝혔다.

이후 Compound 커뮤니티의 289안은 거대한 고래 Humpy가 투표 방향을 조작하고 DAO의 거버넌스 프로세스를 이용해 더 많은 개인 이익을 얻으려 했다는 사실이 폭로되었다.

Humpy는 자신의 투표권을 이용해 2500만 달러의 가치를 Compound 금고에서 직접 자신의 goldCOMP 금고로 이전하여 Golden Boys 커뮤니티에 사용했다. 이 중 Golden Boys 커뮤니티는 거버넌스 토큰 GOLD를 발행했으며, Compound 사건 이후 그 가치는 두 배로 증가했고, GOLD 토큰은 당일 46% 이상 상승하여 큰 수익을 올렸다.

DeFi 프로토콜이 왜 여러 차례 거버넌스 공격을 받는가? 어떻게 피할 수 있는가?

비록 Humpy의 행동이 합법적이지만, 이는 탈중앙화 DAO 거버넌스에 대한 문제를 생각하게 했다. 거대한 고래는 투표 방향을 통제하여 자신에게 중대한 이익을 가져오는 결정에 영향을 미칠 수 있다.

비록 Compound가 결국 COMP 스테이킹 제품 stCOMP 출시를 조건으로 289 제안을 취소하고, 이번 거버넌스 공격 위기를 COMP 토큰의 응용 시나리오 및 수익으로 전환했지만, 향후 프로토콜 수익이 COMP 형태로 보상(DAO 준비금 감소)되어 COMP 스테이커에게 제공되고, Compound의 수익이 COMP 가격과 연동되는 등 사용자들의 긍정적인 피드백을 받았지만, 이러한 거버넌스 공격 사건은 DeFi 응용에서 처음이 아니며 마지막도 아닐 것이다.

2022년, Humpy는 DeFi 프로토콜 Balancer의 토큰 veBAL을 대량으로 통제하여 해당 프로토콜의 토큰 배출 방향과 발행량에 영향을 미쳐 자신에게 이익을 취하고, 프로젝트 측과 고양이와 쥐의 게임을 벌였다.

올해 3월, Humpy는 SushiSwap의 자레드 그레이에게 공격을 감행했다고 비난받았으며, 그는 Humpy의 거버넌스 공격이 성공하면 SUSUI 토큰 발행량을 늘려 Sushi의 가치를 착취할 것이라고 말했다.

왜 DeFi 프로토콜에서 이러한 거버넌스와 유사한 DAO 공격이 반복되는가? 이러한 행동을 어떻게 피할 수 있는가?

암호화 사용자 Esk3nder는 현재 DeFi DAO 거버넌스 공격은 기본적으로 두 가지 형태가 있다고 말했다. 하나는 금융적 성격으로, 주된 목적은 국고에서 자금을 얻는 것이고; 다른 하나는 거버넌스 형태의 공격으로, 주로 투표권을 늘려 거버넌스를 통제하는 것이다.

그 중 Humpy의 Balancer와 SushiSwap 공격은 모두 프로토콜의 토큰 발행량을 통제하여 더 많은 자금을 얻으려는 시도였으며, Compound에 대한 공격은 투표권을 통제하여 결정을 영향을 미치는 것으로, 프로토콜에 대한 영향이 더 클 것이다.

사용자 SOSE는 DeFi 프로토콜의 거버넌스 공격은 DeFi 실패의 토큰 경제학 전략과 더 관련이 있다고 말했다. 이번 Compound 공격을 예로 들면, COMP 토큰은 2021년 이후 지속적으로 하락했으며, 이는 DeFi 붕괴의 대표적인 사례로, COMP 토큰의 하락은 토큰이 대량으로 축적되기 쉽게 만들어 대형 투자자들이 더 쉽게 통제할 수 있게 된다. 현재 DeFi 프로토콜의 거버넌스 권한은 종종 토큰 보유량의 비율에 따라 결정되므로, 이는 필연적으로 대형 투자자들이 이익을 추구하는 게임이 된다.

비록 289 제안을 취소하기 위해 Compound가 제안한 stCOMP 스테이킹 계획이 COMP 토큰 경제에 새로운 변화를 가져왔지만, COMP 스테이킹으로 인해 매도자의 유동성이 단기적으로 감소하고, Compound 프로토콜의 수익이 COMP 가격과 연동되는 등 커뮤니티의 합의가 이루어졌지만, Compound DAO의 관점에서 이는 강제적인 행동이며, Humpy는 여전히 이러한 상황에서 혜택을 받을 가능성이 크다.

그는 DeFi DAO가 이러한 사례를 바탕으로 거버넌스 공격 및 토큰 경제학 전략에 대한 대응 방안을 고려해야 한다고 경고했다.

DeFi의 베테랑 플레이어 @DefiIgnas는 현재 DeFi 프로토콜의 공식 DAO 조직이 무관심한 것이 더 화가 난다고 설명하며, Compound에서 여러 제안이 조용히 통과되고 있으며, 7월에 V3에서 출시된 USDT 시장 등과 같은 관련 제안이 Compound 공식 소셜 미디어에서 전혀 공유되지 않아 많은 DAO 대표단이 관련 제안의 투표를 놓쳤다고 말했다. 이제 DAO 조직에 더 많은 인원이 참여하도록 하는 것이 핵심이라고 강조했다.