Source: Compound Governance X
컴파운드는 가장 오래된 디파이 프로토콜 중 하나이다. 웹사이트나 X 등 피싱 공격을 빼고선 중대한 결함으로 인한 해킹을 경험한 적이 없고, 유동성 채굴의 선구자이며, 현재 여러 네트워크에 약 18억 달러(2024년 8월 6일 기준)의 예치금을 보유하고 있다. 여러 디파이 프로토콜들이 지금까지 흥망성쇠를 겪었지만, 컴파운드가 존속할 수 있었던 이유 중에 하나는 엄격한 탈중앙화였다. 컴파운드는 탈중앙화를 컴파운드 거버넌스를 통해 풀어냈다. 어떠한 사용자라도 컴파운드 프로토콜 내에서 자산을 예치하거나 타 거래소에서 구매를 통해 얻을 수 있는 COMP 토큰을 통해 컴파운드 거버넌스에 참여할 수 있도록 구현한 것이다.
그런데 철옹성처럼 해킹 사태들을 잘 방어해내던 컴파운드는 자신들이 자랑하던 거버넌스의 탈중앙화 특성 때문에 성벽 내부에서부터 무너진 사건이 발생하고야 말았다.
Source: Compound Governance Proposal #289
2024년 7월 29일부터 며칠 동안 세간을 떠들썩하게 만들었던 이 사건은 "Golden Boys"로 알려진 그룹이 관리하는 유동성 풀에 무려 499,000개의 COMP 토큰(약 2,400만 달러의 가치와 COMP 토큰 총 공급량의 5%에 해당)을 할당하는 거버넌스 제안 289번이 통과되면서 시작됐다. "Humpy"라는 아이디를 사용하는 고래 투자자가 이끄는 이 그룹은 컴파운드 거버넌스의 참여자들의 반대표, 그리고 거버넌스 내에 존재하는 보안 전문가들의 반대에도 불구하고 타 거래소에서 구매한 충분한 양의 COMP 토큰을 투표권으로 확보하여 제안 289번의 통과를 강행한 것이다.
Source: Compound Governance Proposal #279
더욱 충격적인 사실은, 거버넌스 제안 289번이 첫 공격이 아니었다는 점이다. 이미 2024년 7월 20일,거버넌스 제안 279번에서 같은 제안자가 같은 수법이지만 할당 개수만 다른 COMP 92,000개로 제안을 올렸었다. 이 때에도, 거버넌스의 보안 전문가인 Michael Lewellen이 먼저 이 제안을 발견하고 경고를 하여 공격이 무산됐지만, 컴파운드 DAO 내 구성원들의 관심이 크지 않다는 것을 안 Golden Boys 측은 공격 금액을 5배 이상 늘려 재공격에 들어갈 수 있었다.
다행히도, 거버넌스 제안 289번은 통과는 됐지만 실행되지 않고 취소되었으며, 499,000개의 COMP 토큰이 악의적 제안자에게 넘어갈 뻔한 초유의 사태는 피할 수 있게 되었다. 그러나 컴파운드 거버넌스와 비슷하게 DAO의 구성을 지니고 있는 타 플랫폼들은 우려와 함께 긴장을 놓고 있지 않은 상황이다.
이 일련의 사건이 굉장히 치명적이게 느껴지는 이유는 Web3 탈중앙화의 기본이라 여겨졌던 DAO 시스템의 절차적 정당성 내에서 발생한 공격이기 때문이다. 사실상, 제안의 내용이 COMP를 제안자의 투자 자금으로 유용하기 위해 악의적으로 빼돌린다는 것 뿐, 모든 단계에서 컴파운드 거버넌스가 제시한 단계를 거치고 있다. 제안자인 Humpy는 거버넌스에 정당하게 제안을 올렸고, 공개된 장소에서 일정한 시간 내에 거버넌스 참여자들의 투표를 거쳐 제안이 통과되었다.
문제는 광범위한 컴파운드 커뮤니티의 참여가 부족했다는 점이다. 일단, 이러한 제안이 올라왔다는 사실을 걸러내지 못한걸 차치하고서라도 두 번째로 걸러낼 수 있었던 투표에 참여한 주소는 57개에 불과했다. 이는 컴파운드 거버넌스의 크기와 다루는 자산의 규모에 비해 매우 아쉬운 참여도였다. 이러한 부분에 대해 활발히 자정 작용을 해야 하는 컴파운드 거버넌스 포럼은 결정적인 순간에 침묵을 지키고 있었다.
참고로 이번 거버넌스 공격을 실행한 Humpy는 화려한 이력을 가지고 있기로도 유명하다. 그는 밸런서(Balancer)나 스시스왑(SushiSwap) 등 다른 디파이 프로토콜 거버넌스에서도 공격을 감행하여 소란을 일으킨 장본인이기도 하다. 결국 컴파운드 거버넌스 측은 과거의 사례에서 타산지석 삼아 예방책을 세울 수 있었음에도 방치하여 위험한 순간을 맞이했다는 비판을 피하기는 어려워 보인다.
그렇다면, 이러한 DAO 시스템에 대한 공격을 막기 위해서는 어떠한 조치를 취해야 할까? 사실 이 부분은 블록체인 산업에 존재하는 여타 보안적 위협들을 해결하는 방법론들 보다 훨씬 복잡하고 어려울 수 있다. 왜냐하면 스마트 컨트랙트의 코드 버그나 시스템의 취약점은 개발 주체의 단일 의지에 따라 바로 해결될 수 있는 방면, DAO 시스템은 참여자들의 다중 의지가 모두 함께 일치되야 해결될 수 있기 때문이다.
따라서 컴파운드 거버넌스 공격과 같은 사례를 예방하려면 두 가지 예방법을 도입할 수 있다:
1. 간접 민주주의 도입
민주주의의 방식에는 크게 두 가지가 있다. 그 중 하나가 직접 민주주의이고 다른 하나가 간접 민주주의이다. 위의 설명처럼 직접 민주주의는 구성원 모두가 참여하는 민주주의 방식이고 간접 민주주의는 대표가 되는 소수만 참여하는 민주주의 방식이다.이론만 보면 모두가 참여하는 직접 민주주의가 훨씬 공정하고 모두의 영향력이 고루 발휘될 수 있을 것처럼 보인다. 그러나 조직이나 단체를 이루는 인원 수가 계속해서 늘어나고 이 구성원들이 모두 의결에 참여하는 것 자체가 시간과 공간의 문제로 인해 말 그대로 불가능해진다. 그리고 구성원들이 의결에 참여하는 것에 대한 의식을 가지지 못하고 의결적인 무관심으로 일관하게 된다면 의결 공백이 생기기 쉽다는 단점도 가지고 있다.그렇기 때문에 민주주의를 채택하고 있는 대부분의 국가에서는 의회에 참가하는 국회의원을 국민들이 뽑아서 대신 의결권을 행사하는 간접 민주주의 방식을 이용한다. 그러나 이러한 간접 민주주의 방식은 주권자인 구성원들이 투표를 통해 대표자에게 권력을 신탁하지만 대표자가 주권자의 의견을 제대로 대표하지 못한다면 주권자와 대표자 사이에 의견적 괴리감이 발생할 수 있다는 단점이 있다.Source:
필자가 예전에 작성한 글에서 언급했던 내용이다. 모든 의결 참여자가 참여하면 더할 나위 없이 좋겠지만, 결국은 의결적인 무관심이 생길 수 밖에 없기 때문에 투표권을 적극적인 위임자에게 위임하여 의결 활동을 이어나간다는 취지이다. 현재 많은 거버넌스들에서 위임자들을 선정하여 표결을 이어나가고 있다. 하지만 이 위임자들이 제 역할을 하지 못한다면 똑같은 의결적인 무관심으로 연결될 수 있으며, 위임자에게 중앙화 문제가 발생할 여지도 남아있기 때문에 모든 의결 참여자들의 감시와 관심은 필수적이다.
2. 단일 투표자의 투표 영향 축소
Humpy는 이번 공격에서 정족수에 필요한 표 수 달성과 반대표를 누르기 위해 충분한 양의 COMP를 외부 시장에서 구매하여 충당하였다. 토큰이 곧 투표권이 되는 거버넌스의 특징 상, 돈으로 표를 살 수 있다는 굉장히 자본주의적인 사상을 떨쳐낼 수는 없다. 하지만 돈으로 모든 것을 해결할 수 없도록 방지턱을 설치할 수는 있다.
Quadratic Voting(QV)은 투표의 가중치가 표 수의 단순 합이 아닌, 제곱근의 합으로 이루어진다는 특징을 지니고 있다. 따라서 이를 사용하면, 단일 투표자의 몰표에 대한 투표의 가중치를 현저히 줄일 수 있다. QV나 QV의 시빌 공격성을 방지한 Probabilistic Quadratic Voting(PQV)를 통해, 완전하게 공격을 막을 순 없겠지만 어느 정도의 방파제 역할은 기대할 수 있다.
Web3 생태계에서 한 번 신뢰를 잃게 되면 이를 회복하기까지 너무나 많은 노력과 시간이 들어간다. 이 같은 점은 신뢰를 잃게 된 프로토콜의 참여자에게는 굉장히 아프게 다가올 것이다. 하지만 누굴 탓할 수도 없다. 모든 절차와 과정이 정상적으로 돌아가는 환경 속에서 단지, 그들의 “관심”만이 절대적으로 부족했기 때문이다. 위의 예방책을 나열했지만, 결국 가장 중요한 것은 참여자들의 “관심”이다.
이번 사건을 통해 다른 디파이 서비스들도 경각심을 가지게 되는 계기가 될 것이다. 중요한 점은, 탈중앙화된 거버넌스는 참여자들이 경계를 늦추지 않고 참여할 때에만 실현될 수 있다는 것이다. 그렇지 않으면 DAO의 근간을 훼손하는 거버넌스에 대한 공격 사례가 더 많이 발생할 것이다.
관련 기사, 뉴스, 트윗 등 :
