거버넌스 공격이란 무엇이며 DAO를 어떻게 탈취할 수 있나요?

분산형 자율 조직의 거버넌스 공격 이해

거버넌스 공격은 개인이나 그룹이 분산형 자율 조직(DAO)의 의사 결정 메커니즘을 악용하여 운영, 재무 또는 정책 방향에 대한 통제권을 얻을 때 발생합니다. 이러한 공격은 본질적으로 항상 기술적인 공격은 아닙니다. 대신 경제적 인센티브, 토큰 분배 불균형 또는 투표 시스템의 결함을 활용하는 경우가 많습니다. DAO는 결과를 결정하기 위해 토큰 기반 투표에 의존하기 때문에 공격자가 충분한 투표권을 축적하면 이 프로세스를 조작할 수 있습니다.

1. 거버넌스 공격은 일반적으로 보유자에게 DAO 내 변경 사항을 제안하고 투표할 수 있는 권리를 부여하는 거버넌스 토큰의 축적으로 시작됩니다. 단일 주체가 이러한 토큰의 상당 부분을 축적하면 일방적으로 결정에 영향을 미치거나 심지어 지시할 수도 있습니다.

2. 일부 공격자는 겉으로는 무해해 보이지만 숨겨진 악성 코드나 자금 이체가 포함된 제안서를 제출하여 낮은 투표 참여율을 악용합니다. 무관심이나 인식 부족으로 인한 반대가 최소화되면 그러한 제안은 피해가 발생할 때까지 눈에 띄지 않게 전달됩니다.

3. 플래시 대출 공격은 DeFi 관련 DAO에서 사용되었습니다. 공격자는 일시적으로 대량의 토큰을 빌려 이를 사용하여 투표를 좌우한 다음 단일 거래 블록 내에서 대출금을 상환합니다. 이를 통해 장기적인 자본 투자 없이 일시적인 통제가 가능합니다.

4. 시빌(Sybil) 공격에는 투표 가중치를 증폭시키기 위해 여러 개의 가짜 신원을 생성하는 것이 포함됩니다. 블록체인 주소는 가명이지만, 협력 행위자는 수많은 지갑을 제어하여 제안에 대한 광범위한 지원을 시뮬레이션할 수 있습니다.

5. 어떤 경우에는 핵심 개발자나 초기 기여자가 다중 서명 지갑이나 관리 키를 통해 특권적인 액세스를 유지하여 사회 공학이나 담합의 대상이 됩니다. 이러한 역할이 손상되면 커뮤니티 결정을 무시할 수 있습니다.

DAO를 인수하는 데 사용되는 방법

DAO를 인수하는 데 스마트 계약을 직접 해킹할 필요는 없습니다. 대신 공격자는 프로토콜 자체 규칙에 정의된 합법적이지만 착취적인 수단을 통해 거버넌스 구조에 영향을 미치는 데 중점을 둡니다.

1. 공격자는 2차 시장에서 거버넌스 토큰을 구매하거나 빌릴 수 있으며, 자체 서비스 제안을 추진하기에 충분한 투표권을 집중할 수 있습니다. 이 방법은 기술적 침입보다는 경제적 지배에 의존합니다.

2. 위임 메커니즘을 이용하는 것도 또 다른 일반적인 전술입니다. 많은 DAO에서는 토큰 보유자가 투표권을 위임할 수 있도록 허용합니다. 사용자가 중앙화된 엔터티나 고래에게 맹목적으로 위임하는 경우 해당 위임자는 불균형적인 영향력을 행사할 수 있습니다.

3. 업그레이드나 자금 재배분으로 위장한 악의적인 제안은 긴급 조항에 따라 철저한 검토 기간을 우회하고 커뮤니티의 허를 찔러 빠르게 추적될 수 있습니다.

4. 조정된 투표 풀이나 투표 구매 시장과 같은 뇌물 플랫폼을 사용하면 제3자가 유권자에게 특정 결과를 지지하도록 인센티브를 제공하여 분산된 의사 결정의 무결성을 훼손할 수 있습니다.

5. DAO의 코드베이스를 포크하고 관련 프로토콜에서 유동성을 빨아들이면 공격자가 자금을 빼내거나 개발을 사기 목적으로 방향을 바꿀 수 있습니다.

DAO 인수의 실제 사례

세간의 이목을 끄는 여러 사건은 거버넌스 공격이 어떻게 실제 손실과 운영 중단으로 이어지는지를 강조합니다.

1. 2022년 Beanstalk Farms 익스플로잇은 공격자가 2억 5천만 달러 상당의 자산을 빌려 이를 사용하여 투표권을 획득하고 악의적인 제안을 통과시킨 후 대출금을 상환하기 전에 1억 8천만 달러 이상을 빼내는 플래시 대출 공격을 시연했습니다.

2. Vulcan Forged 의 경우 낮은 투표율로 인해 악의적인 제안이 승인되어 프로젝트 자금에서 약 140만 달러를 도난당했습니다.

3. Fei Protocol과 Rari Capital의 합병 으로 TribeDAO가 탄생했지만, 유권자의 열악한 참여로 인해 소수의 이해관계자 그룹이 나중에 논쟁을 불러일으키며 합병을 번복할 수 있었으며, 이는 분열된 커뮤니티가 전략적 방향을 잃을 수 있음을 보여주었습니다.

4. 일부 프로젝트에서는 창립 팀이 과도한 토큰 할당 또는 관리 제어를 유지하여 커뮤니티의 반대에도 불구하고 일방적인 결정을 내릴 수 있는 내부 주도 인수가 있었습니다.

5. 분산형 거버넌스 계층과 통합된 플랫폼에서 뇌물을 통한 투표 조작이 발생했으며, 여기서 재정적 인센티브가 장기 프로젝트 목표에 대한 조정보다 더 중요했습니다.

DAO 거버넌스 공격에 대한 일반적인 질문

DAO가 거버넌스 공격에 취약한 이유는 무엇입니까? DAO는 집중된 토큰 소유권, 낮은 투표자 참여, 중요한 조치에 대한 시간 제한 부재, 중앙 집중식 다중 서명에 대한 의존 또는 취약한 제안 검증 프로세스가 있는 경우 취약해집니다. 경제적 중앙집중화는 기술적 취약점보다 더 큰 위험을 초래하는 경우가 많습니다.

거버넌스 공격이 발생한 후 되돌릴 수 있습니까? 반전은 시스템 설계에 따라 다릅니다. 일부 DAO는 제안 실행을 지연시켜 응답할 시간을 허용하는 타임록을 구현합니다. 다른 사람들은 이전 상태를 복원하기 위해 프로토콜을 분기할 수 있지만 이로 인해 사용자 간에 단편화 및 신뢰 문제가 발생합니다.

플래시론은 어떻게 거버넌스 인수를 가능하게 합니까? 플래시 대출을 사용하면 공격자는 담보 없이 일시적으로 막대한 양의 토큰을 획득하고, 이를 사용하여 악의적인 제안에 찬성 투표하고, 결과를 실행하고, 대출금을 상환할 수 있습니다. 이 모든 것이 하나의 블록체인 트랜잭션 내에서 이루어집니다. 이는 토큰을 장기간 소유하지 않고도 일시적인 통제권을 제공합니다.

모든 거버넌스 제안은 위험합니까? 모든 제안이 위험한 것은 아니지만 자금 이동, 계약 업그레이드 또는 관리 권한과 관련된 모든 변경 사항은 면밀한 조사가 필요합니다. 투명한 토론, 공식 검증, 실행 기간 지연은 합법적인 것처럼 보이지만 유해한 제안과 관련된 위험을 줄이는 데 도움이 됩니다.