주요 시사점:
- 공격자가 Token of Power의 아라곤 DAO 거버넌스 통제권을 탈취했습니다.
- 100억 개의 TOP 토큰을 발행하고 발란서 V1 풀에서 944.2 WETH를 빼냈습니다.
- BlockSec Phalcon은 프로젝트에 거버넌스 보호 장치를 즉시 검토할 것을 경고했습니다.
뒤로
Token of Power, 아라곤 DAO 거버넌스 익스플로잇으로 158만 달러 손실
공격자가 Token of Power의 아라곤 DAO 거버넌스 설정 오류를 악용해 6월 9일 발란서 V1 풀에서 158만 달러를 빼냈습니다.
"유사한 Lido/아라곤 거버넌스 구현체를 사용하는 프로젝트는 의결권 분포, 정족수 및 통과 기준, 발행 권한 및 관련 거버넌스 보호 장치를 면밀히 검토해야 합니다"라고 BlockSec Phalcon은 사후 분석에서 밝혔습니다.
토네이도 캐시를 통해 자금을 조달받은 공격자는 총 16,384개의 TOP 공급량 중 50% 이상을 확보했습니다. 단 한 번의 트랜잭션으로 악의적인 제안을 생성, 투표 및 실행하여 TokenManager가 100억 개의 TOP 토큰을 자신의 컨트랙트에 직접 발행하도록 했습니다. 새로 발행된 토큰은 이더리움의 TOP/WETH 발란서 V1 풀에서 944.2 WETH로 교환되어 풀의 유동성을 고갈시켰습니다. 도난당한 자금은 다시 토네이도 캐시를 통해 전송되어 회수 작업이 어려워졌습니다. 발란서의 핵심 프로토콜에는 손실이 발생하지 않았습니다.
이번 익스플로잇은 2026년 저유동성과 느슨한 매개변수로 인해 인수가 저렴해진 소형 DeFi 프로젝트를 대상으로 한 거버넌스 공격 패턴에 추가됩니다. 주요 프로토콜은 타임락과 더 높은 정족수로 방어를 강화했지만, 아라곤 및 유사 스택을 사용하는 많은 신규 토큰은 여전히 노출되어 있어 보안 기업의 더 많은 조사와 거버넌스 업그레이드 요구가 이어질 것으로 보입니다.
BlockSec Phalcon의 경고는 TOP에만 국한되지 않습니다. MiniMeToken과 낮은 공급 분포를 가진 아라곤 DAO를 사용하는 모든 프로젝트는 유사한 위험에 직면해 있습니다. 이번 공격은 코드 익스플로잇이 아닌, 타임락이나 정족수 보호 장치 없이 단일 개체가 과반 의결권을 보유할 수 있도록 허용한 거버넌스 매개변수만을 필요로 했습니다. 저가형 DeFi 토큰 투자자에게 이 사건은 유동성을 제공하기 전에 거버넌스 매개변수를 확인하고 대규모 토큰 축적을 모니터링하는 것의 중요성을 강조합니다.
본 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.
