PiCK 뉴스
투표권 싹쓸이해 300억 '꿀꺽'…밈코인 봉크, 눈뜨고 코 베였다 [황두현의 웹3+]
간단 요약
- 솔라나 밈코인 봉크(BONK) 다오 거버넌스 투표 악용으로 약 2000만달러(300억원) 규모 토큰이 탈취돼 가격이 18% 폭락했다고 전했다.
- 공격자는 BIP #76 제안, 숨겨진 스마트 컨트랙트 코드, 대량 토큰 매집을 통해 투표권을 독점하고 총 공급량의 약 5%(4조4260억개)를 합법적 절차로 이체했다고 밝혔다.
- 이번 사태를 두고 통신망 사기, 사법 당국 신고, 망고마켓 판례 등과 맞물려 디파이 거버넌스 및 규제 정비 필요성이 제기되고 있다고 전했다.
기간별 예측 흐름 리포트


다오 투표 룰 악용 300억 탈취
봉크, 하루만에 18% 폭락
기만적 제안에 사기죄 성립 논란

솔라나 생태계의 대표 밈코인 봉크(BONK) 프로젝트에서 탈중앙화자율조직(DAO, 다오) 거버넌스 투표 제도를 악용한 2000만달러(약 300억원) 규모의 대규모 자금 탈취 사건이 발생했다. 합법적인 투표 방식을 쓴 데다 자본을 동원해 표심을 독점하는 등 탈중앙화 의사결정 구조의 취약점이 여실히 드러났다는 평가가 나온다.
6일(현지시간) 봉크 다오는 악의적인 거버넌스 투표(BIP #76)로 인해 공동 금고에서 약 4조4260억개의 토큰을 탈취당했다. 이는 봉크 총 공급량(87조9900억개)의 약 5%에 달하는 막대한 물량이다. 이 물량이 단일 지갑으로 흘러 들어가면서 코인 가격도 크게 요동쳤다. 사고 발생 전 0.0000049달러대에서 거래되던 봉크는 해당 소식이 전해진 직후 순식간에 18% 가량 폭락했다.
스마트 컨트랙트 허점 노려 300억 탈취

범행은 치밀하고 교묘하게 이뤄졌다. 공격자는 지난 30일 소웰리언 봉크 다오(BIP #76 - Sowellian BonkDAO)'라는 제안서를 제출했다. 해당 안건은 플랫폼 내 시스템인 이른바 소웰리언 거버넌스 방식을 도입해 새로운 멤버와 위원회를 구성하고, 다오를 재건해 보유 자산을 처분 및 현금화함으로써 손실을 막겠다는 명분으로 포장됐다. 여기에 찬성(YES)표를 던진 모든 사람에게 토큰을 지급하겠다는 구체적인 보상을 약속하며 일반 투자자들의 표심을 유도했다.
특히 공격자는 표면적인 안건 내용 사이에 특정 지갑으로 토큰을 이체하는 스마트 컨트랙트 실행 명령을 몰래 숨겼다. 이후 바이낸스와 바이비트 등 대형 가상자산 거래소에서 약 8823억개의 토큰을 집중적으로 사들여 투표권을 확보했다.
공격자는 이 물량을 동원해 7억1000만표에 그친 반대표를 가볍게 누르고 안건을 통과시켰다. 6일 투표가 종료되자마자 단 49초 만에 4조4260억개의 토큰이 공격자의 지갑으로 빠져나갔다. 2000만달러를 빼돌리는 데 든 수수료는 단 0.000105솔라나(SOL)에 불과했다. 범행 직후 공격자는 투표에 사용한 토큰을 고스란히 인출했으며, 제안이 6일 동안 올라와 있었음에도 이를 막을 제재 조치는 전무했다.
봉크 다오 시스템의 취약한 설정값도 문제였다. 당시 봉크 다오는 의결 정족수가 전체 공급량의 1%에 불과했다. 안건 통과 후 실행을 지연시키는 '타임락(Timelock)' 기능은 없었고, 토큰을 예치(스테이킹)하지 않은 유동성 물량으로도 투표가 가능했다. 결국 200억원 가량의 토큰이 투표라는 합법적 절차를 거쳐 당당히 공격자에게 이체된 것이다.
사기인가 합법적 거래인가
사태가 커지자 봉크 측은 즉각 사법 당국에 신고하고 "가상자산 거래소 및 솔라나 재단과 협력해 자금을 추적하고 있다"고 밝혔다. 하지만 법조계와 업계에서는 이번 사태를 두고 코드로만 운영되는 탈중앙화금융(디파이) 생태계 특유의 '회색지대' 논란이 점화되고 있다. 이번 탈취 사고를 미국 연방법상 통신망 사기로 처벌할 수 있을지가 핵심 쟁점이다.
통신망 사기가 성립하려면 누군가를 속이려는 의도와 중대한 허위 진술이 입증돼야 한다. 이를 두고 업계에서는 의견이 엇갈린다. 기소 찬성 측은 제안서에 명시된 소웰리언 거버넌스 도입이 단순한 아이디어가 아닌 실존하는 명명된 시스템이라는 점에 주목하고 있다. 실제 실행 코드에는 거버넌스 구축 지침이 전혀 없었으므로 이는 명백한 거짓 약속이라는 것이다. 제안서에 적힌 코드대로 투명하게 실행됐다는 방어 논리는 반쪽짜리 진실에 불과하며, 투자자의 오해를 유도한 것 자체가 사기 의도라는 주장이다.
반면 이를 사기죄로 엮기 어렵다는 반론도 나온다. 공격자가 사전 매수를 통해 제안을 단독으로 통과시킬 수 있는 절대적인 투표권을 쥐고 있었기 때문이다. 오해의 소지가 있는 제안서 텍스트가 실제 자금 이체를 초래한 기만행위인지, 아니면 결과에 영향을 미치지 않은 단순한 장식에 불과한지 인과관계를 법적으로 입증하기 까다롭다는 지적이다.
무엇보다 과거 가상자산 업계에서 발생했던 망고마켓(Mango Markets) 사태의 판례가 가장 큰 변수다. 당시 선물 거래로 망고 토큰 가격의 가격을 부풀린 다음 이를 담보로 1억1000만달러 가량의 가상자산을 챙긴 아브라함 아이젠버그는 1심 유죄 판결을 뒤집고 최종 무죄 평결을 받았다. 재판부는 "망고마켓에 차입에 대한 명시적인 지침이나 이용약관이 없었으므로 허위성을 입증할 증거가 불충분하다"고 봤다. 코드 착취 자체가 합법이라는 뜻이 아니라, 명문화된 규칙이나 약속이 없었기에 법적으로 기만이 성립하지 않는다는 취지다.
업계 관계자는 "이번 사건은 코드로만 굴러가는 탈중앙화 생태계를 어떻게 법적으로 통제할 것인지에 대한 질문을 던졌다"며 "스마트 컨트랙트의 허점을 파고든 합법적 사기를 막기 위한 규제 정비가 시급하다"고 말했다.
황두현 기자
cow5361@bloomingbit.io여러분의 웹3 지식을 더해주는 기자가 되겠습니다🍀 X·Telegram: @cow5361