440만 달러로 2000만 달러를 훔치다: BONK, '합법적인 강탈' 피해
- 핵심 요점: 솔라나 생태계의 밈 프로젝트 BONK DAO가 거버넌스 메커니즘의 결함으로 인해 악성 제안 공격을 받았다. 공격자는 기술적 취약점을 이용하지 않고 대량의 토큰을 매수해 투표 통제권을 확보한 뒤, 재무부에서 약 2000만 달러 상당의 BONK 토큰을 합법적으로 빼돌렸다.
- 핵심 요소:
- 공격자는 6월 30일 Realms 거버넌스 플랫폼에 "BIP #76"이라는 악성 제안을 제출했다. 이는 거버넌스 개혁으로 위장했으나 실제 의도는 재무부의 4.4조 개 BONK (약 2000만 달러)를 빼돌리는 것이었다.
- 공격자는 거래소에서 8822.85억 개의 BONK (가치 440만 달러)를 인출하여 최소 투표 요건(전체 토큰의 1%)을 충족시켰고, 이를 바탕으로 투표에서 99.878%의 가중치를 확보해 압도적인 우위로 제안을 통과시켰다.
- BONK DAO에는 투표 유효 임계값, 타임락, 지연 투표 메커니즘 같은 핵심 방어 장치가 부족했다. 이로 인해 제안 통과 후 즉시 실행되어 자산이 자동으로 이체되었다.
- 공격으로 확보한 자금은 약 2000만 달러인 반면, 비용은 440만 달러에 불과해 DAO 거버넌스에서 '투표 수만 중시하는 위험성'과 경제적 게임의 취약성을 극명하게 드러냈다.
- BONK DAO 측은 공격자의 주소를 식별했으며 거래소, 크로스체인 브릿지 및 솔라나 재단과 협력하여 처리 중이나, 자산은 이미 이동된 상태다.
원문 작성자: KarenZ, Foresight News
누군가가 당신에게 자신은 아무의 컴퓨터도 해킹하지 않았고, 코드 취약점도 이용하지 않았으며, 심지어 거짓말 한마디 하지 않고 정정당당하게 DAO의 금고에서 약 2000만 달러 상당의 토큰을 가져갔다고 말한다면, 당신은 그가 허풍을 떤다고 생각할 것입니다.
하지만 Web3의 세계에서, 이 일은 실제로 일어났습니다.
Solana 생태계의 대표적인 Meme 프로젝트 BonkDAO가 거버넌스 공격을 당했습니다. 공격자는 어떤 뛰어난 해킹 기술도 사용하지 않고, 탈중앙화 거버넌스에서 '표 수만 중시'하는 생존 법칙을 완벽하게 이용하여 약 2000만 달러 상당의 BONK 토큰을 옮겼습니다.
한국 시간 2026년 7월 7일 새벽, BONK 공식은 X를 통해 BonkDAO가 악의적인 거버넌스 제안을 당해 금고에서 약 2000만 달러 상당의 BONK가 이체되었다고 공개했습니다. 공식은 또한 제안 전에 BONK를 매수한 거래소 지갑을 식별했으며, 거래소, 크로스체인 브릿지 및 Solana Foundation과 협력하여 처리 중이라고 밝혔습니다.
'거버넌스'라는 외투를 입은 노골적인 약탈
이 사건과 관련된 거버넌스 페이지는 6월 30일 Realms에 제출된 제안 BIP #76 - Sowellian BonkDAO입니다. 해당 제안은 소위 'Sowellian' 거버넌스 방식을 시행하고, 새로운 멤버와 위원회를 구성하며, DAO를 재건하고, 보유 자산을 처분/현금화하며, 손실을 막고, 찬성표를 던진 모든 사람에게 토큰을 지급하겠다는 내용입니다.
이러한 화려한 업계 용어를 벗겨내고 평이한 말로 번역하자면 사실 다음과 같습니다: "금고에 있는 4조 4천억 개가 넘는 BONK 토큰(2000만 달러 상당)을 전액 제 주소로 이체해 주십시오."

더욱 아이러니한 점은, 거버넌스 제안 이름에 있는 Sowellian(소웰리언 게임 이론)이라는 단어가 Solana 거버넌스 플랫폼 Realms(즉, BONK가 이번 투표를 진행한 기반 시스템)의 거버넌스 예측 시장 시스템 이름이라는 것입니다. Realms가 이 Sowellian 메커니즘을 설계한 의도는 매우 순수했습니다: 경제적 게임을 도입하여 참가자들이 실제 자금으로 제안에 투표하도록 유도함으로써, '좋은 결정에는 보상을, 나쁜 결정과 악의적인 공격에는 처벌을' 가하자는 것이었습니다.
결과적으로, 공격자는 이 노골적인 금고 '강탈' 악성 제안을 제출하면서 공교롭게도 스스로 이름을 'Sowellian BonkDAO'라고 지었습니다. 공격자는 플랫폼이 가장 자랑스러워하는 '게임 규칙'을 이용하여 DAO 금고의 자산을 가져간 것입니다.
440만 달러 원금으로 2000만 달러를 노리다: 공격자의 계산
6월 30일 제안을 제기한 후, '공격자'는 매우 단순하고 거칠지만 스마트 계약으로는 차단할 수 없는 '돈의 힘'을 사용했습니다:
1. 은밀히 물량을 모은다: Yujing(余烬) 통계에 따르면, 지난 며칠 동안 '공격자'는 바이낸스와 바이비트에서 최소 의결 요건(최소 1% 토큰)을 충족하는 BONK(8822.85억 개, 가치 440만 달러)를 체인으로 인출했습니다.
2. 투표: 이 온체인 주소는 Realms 거버넌스 시스템에서 찬성표를 던졌습니다. 그러나 당시 BonkDAO의 일상적인 거버넌스 참여율이 매우 낮아 최종적으로 단 7개 주소만 투표에 참여했습니다. 해당 주소는 8822.85억 개의 BONK로 99.878%의 가중치를 행사하며 절대적인 우위로 압도적인 '완전 지배권'을 획득했습니다.

7월 6일, 투표 결과가 발표되었습니다: 제안 통과. 스마트 계약은 정해진 규칙에 따라 자동으로 금고에 있던 4조 4천억 개(약 2000만 달러 상당)의 BONK를 공격자의 주머니로 이체했습니다.

DAO의 방어 체계는 어디에 있었나?
여기까지 읽고 궁금할 수 있습니다: 아무런 제한도 없었던 것인가? 투표만 끝내면 바로 돈을 가져갈 수 있다고?
이것이 바로 BonkDAO가 범한 치명적인 실수입니다. 비교적 성숙한 DAO 거버넌스에는 일반적으로 몇 가지 방어선이 더 있습니다:
- 투표 유효 기준: 금고 핵심 자산 이체와 관련된 제안은 투표 인원수와 통과율 요건을 대폭 높여 소수의 급습을 방지해야 합니다.
- 타임락(Timelock): 제안이 통과된 후, 실행되기까지 3~7일의 잠금 기간이 있어야 합니다. 이 기간 동안 커뮤니티가 악성 제안임을 발견하면, 다중 서명 관리자(Multisig)나 핵심 팀이 '거부권(Veto)'을 통해 차단하거나 긴급히 계약을 수정할 시간을 갖습니다.
- 지연 투표 메커니즘: 투표 마감 직전에 갑자기 플래시 론(Flash Loan)이나 막대한 자금으로 결과를 조작하는 것을 방지합니다.
안타깝게도 BonkDAO는 충분한 방어 완충 장치와 다중 서명 개입 메커니즘이 부족하여 악성 제안이 통과된 후 즉시 실행되었습니다. 공격자는 성공 직후 자금을 신속히 이동시켰습니다.
요약
440만 달러의 담보로, 아무도 지키지 않는 투표함 앞에서 2000만 달러의 거금을 합법적으로 '투표'하여 인출해 냈습니다.
Bonk 거버넌스 공격은 전체 Web3 업계에 경종을 울렸습니다. 이는 스마트 계약의 코드 취약점이 아니라, 순수한 '거버넌스 조작과 경제적 게임'이자 거버넌스 로직과 규칙의 부재였습니다.


