대형고래의 승리, 디파이 컴파운드 거버넌스 공격의 실체

학습 차원에서 틈틈이 해외 전문가들이 블로그나 미디어 그리고 책에서 쓴 글을 번역 또는 요약 정리하고 있습니다. 이번 포스팅도 그중 하나고요. 거칠고 오역된 부분이 있을 수 있습니다. 제대로 번역되지 않은 부분은 확인 주시면 반영토록 하겠습니다. 의미 전달이 애매한 문장은 삭제했습니다. 이번에는 크립토 미디어 wublockchain에 올라온 글을 정리한 것입니다.

요약: 컴파운드가 거버넌스 공격을 받았다는 흥미로운 정보를 봤다. 오랫동안 탈중앙 금융에 종사해 온 나는 이 정보에 관심을 갖게 되었고, 이 사건의 이면에 숨겨진 세부 사항을 자세히 살펴보기로 했다. 요약하면, 컴파운드에 대한 거버넌스 공격은 한 디파이 고래가 거버넌스 투표를 통해 컴파운드 트레저리 내 유휴 컴파운드 토큰 거버넌스 통제권을 강제로 장악하여 컴파운드 프로토콜에 대한 완전한 통제권을 얻으려는 시도였다.

전설의 고래  Humpy, 밸런서 장악 성공 후 또 다시 공격에 나서다

전설적인 고래인  Humpy 가 움직인 것은 이번이 처음이 아니다. 이전에도 2022년 디파이 서머 중  Humpy는 밸런서에 대한 거버넌스 공격을 감행한 적이 있다.  Humpy는  대량 BAL 거버넌스 토큰을 획득하고 밸런서 veBAL 메커니즘을 활용하여 유동성 풀에 대한 BAL 인센티브 분배 대부분을 통제함으로써 사실상 밸런서 통제권을 장악했다. 현재까지   Humpy는 밸런서 공식 팀에 이어 두 번째로 큰 BAL 토큰 보유자다.

여러 분이 밸런서 veBAL 메커니즘에 대해 얼마나 아는지 모르는 만큼, 간단히 요약하겠다.

디파이 서머 기간 동안 제품 설계 혁신은 주로 성장을 촉진하는 효과적인 토큰노믹스를 만드는 데 집중됐다. 당시 스테이블코인 핵심 거래소인 커브는 토큰노믹스로서 veCRV 메커니즘을 개척하여 상당한 성과를 거뒀다. veToken은 DEX 토큰노믹스에서 인기 있는 디자인 패러다임이 되었다. 같은 카테고리에서 유명 프로젝트 중 하나인 밸런서는 당시 혁신 병목현상에 직면해 있었고, 이후 veBAL 메커니즘을 출시하기로 결정했다.  이 메커니즘의 핵심은 거버넌스 투표를 통해 제품 내에서 경쟁력 있는 자원을 할당함으로써 투표 구매를 위한 광범위한 시나리오를 만들고 거버넌스 참여자들이 수익을 창출할 수 있도록 하는 것이었다. 이는 결과적으로 제품 공동 구축에 대한 커뮤니티 열정을 자극하고 시장에서 흔히 '거버넌스 가치 추출'(governance value extraction)이라고 부르는 개념인 거버넌스 토큰에 대한 적절한 가치 지원을 제공했다.

DEX 부문에서 이는 공식 팀이 유동성 풀에 분배하는 유동성 인센티브 보상을 의미한다. 각 유동성 풀에 할당되는 보상 비율은 거버넌스 투표를 통해 결정된다. 투표권을 얻으려면 거버넌스 토큰을 장기간 묶어 둬야 하며 이는 시장 내 유통량을 줄여 시가총액 증가에 도움이 된다. 유동성 풀이 더 많은 투표를 받을수록 더 많은 BAL 인센티브를 할당 받게 된다. 이러한 설정은 제3자 프로젝트가 자신들 토큰에 대한 유동성을 높이기 위해 veBAL 보유자에게 뇌물을 제공하도록 유도할 수 있다. 보통 전용 DAPP들이 이를 촉진했다. 그러나 밸런서 veBAL 설계에 내재된 결함이 발견되어 Humpy에 의해 악용됐다.

우리는 탈중앙 거래소 핵심 비즈니스 모델이 거래 수수료라는 것을 알고 있다. 더 많은 트레이더가 플랫폼을 사용하도록 유도하기 위해 DEX는 유동성을 높이려  많은 노력을 기울이고, 이를 통해 낮은 슬리피지 거래 경험을 제공, 사용자를 유치한다. 따라서 veBAL 설계는 거래 수수료 증가라는 핵심 목표에서 벗어날 수 없다. 그러나 초기 설계에서는 유동성 풀 유형에 대한 제한이 없었고, 풀이 받은 총 투표 수에만 의존했다. 이로 인해 풀이 어떻게든 충분한 투표를 획득할 수 있다면, 거래량이 없더라도 BAL 유동성 인센티브에서 상당 부분을 받을 수 있다는 문제가 발생했다. 이는 고래들에게 기회를 열어주었고, Humpy의 참여로 이어졌다.

Humpy 공격 전략에서 핵심은 크게 두 가지로 구성됐다. 첫째, 특정 풀 유동성을 절대적으로 통제, 유동성 채굴 시 보상 대부분을 확보하는 것이다. 둘째, 자신이 통제하는 풀에 대한 대량의 투표를 확보, BAL 인센티브 분배 대부분을 차지함으로써 프로토콜에 대한 통제권을 확보하는 것이다. 이를 위해 Humpy는 먼저 거래는 활발하지 않지만 시가총액이 부풀려진 프로젝트 토큰을 표적으로 삼았다.

두 번째 단계는 매우 높은 수수료(1%)로 유동성 풀을 만들어 사용자들 거래를 방해함으로써 수수료에 끌린 잠재적 LP들 참여 의욕을 떨어뜨리는 것이었다. 이러한 전략을 통해 Humpy는 특정 유동성 풀에 대한 절대적인 통제권을 확보했다. 그 후, 그들은 유통 시장에서 BAL 토큰을 대량으로 구매하고 스테이킹하여 veBAL을 획득한 후 유동성 풀에 투표하여 BAL 할당량 대부분을 확보했다. 

그러나 이 인센티브 지급은 추가 거래 수수료가 발생하지 않았기 때문에 밸런서 개선에는 도움이 되지 않았고 오히려 Humpy에게만  이익이 됐다. 이는 고래의 이익과 프로젝트의 장기적인 발전이 충돌하여 불가피한 모순을 초래한 사례다.

실제로 밸런서 공식 팀은 가만히 앉아 있지 않았다. 유동성 인센티브를 받을 수 있는 풀 범위를 명시하고, 풀을 확장할 때는 공식적인 신청과 승인을 받아야 하며, 단일 풀에 할당할 수 있는 보상 비율을 제한하는 등 새로운 제안을 통해 Humpy의 뱀파이어 공격에 대응했다. 일련의 대응책에도 불구하고 밸런서는 결국 Humpy와 합의를 하게 된다. 그럼에도 불구하고 2대 주주가 된 것에서 알 수 있듯이 Humpy는 이러한 방법을 통해 점차 밸런서에 대한 통제력을 확보해 나갔다. 이는 최근 컴파운드에 대한 Humpy 공격의 발판이 되었다.

이번 사건은 2022년 발생했다.  2년 공백기 후, Humpy는 또 다른 기존 탈중앙 금융 프로토콜을 표적으로 삼기 시작했고, 이것이 바로 오늘 논의하고자 하는 사건이다. 이번에는 veBAL과는 아무런 관련이 없었으며, 대신 컴파운드 트레저리에 있는 대량 유휴 COMP와 관련된 거버넌스 권한에 초점이 맞춰졌다.

이번에는 Humpy가 전체 운영에 직접 참여하지 않고 골든 보이즈(Golden Boys)라는 프로젝트를 통해 상황을 조작했다(조직이라고도 볼 수 있음). 이 프로젝트는 본질적으로 금융 밈( financial meme)이다. 이는 무엇을 의미할까? 이 프로젝트 핵심 상품은 $GOLD라는 ERC-20 토큰이다. 그러나 공식 서사는 웹사이트와 블로그에서 수년간 경험과 막대한 재정적, 자원적 이점을 활용해 고래 Humpy가 $GOLD 가치를 유지한다는 점을 강조하면서 단순한 문화적 가치 이상의 기대감을 고취했다. $GOLD 보유는 고래의 등에 올라타는 것과 비슷하지만 실제로는 구조화된 금융 상품이나 수익률 집계가 없으며, 대신 $GOLD와 일부 주류 토큰이 유동성 인센티브로 분배됩니다. 이러한 인센티브 중 일부는 새로 발행된 $GOLD이고, 다른 일부는 BAL 보상이다. 

이는 당연히 밸런서에 대한 Humpy의 영향력 때문이다. 그는 높은 유동성 채굴 보상을 할당하기 위해 상당한 양의 veBAL을 보유하고 있다(이러한 탈취에 대한 방어가 어렵다는 점은 한탄하지 않을 수 없다).

이 모든 준비를 마친 후, Humpy는 골드콤프 볼트( goldCOMP Vaul)라는 새로운 볼트 상품을 만들었다. 간단히 말해 사용자는 이 볼트에 자신의 COMP를 스테이킹하고 거버넌스 권한을 골든 보이즈에게 넘기고 goldCOMP라는 스테이킹 인증서를 받을 수 있다. 이는 사용자가 밸런서 99goldCOMP-1WETH 풀에서 유동성으로 제공할 수 있는 양도 가능한 인증서로, 99와 1은 해당 가중치를 나타냅다. 이 설정은 기본적으로 거래 슬리피지를 최소화한다.

유동성을 스테이킹한 후 사용자는 유동성 인센티브로 $GOLD를 받을 수 있다. 여기서 보상은 BAL이 아닌 $GOLD이며, 이는 자연스럽게 골든 보이즈가 풀의 이자율을 통제할 수 있게 해준다. 현재 이자율은 180%이지만 TVL은 여전히 낮다. 하지만 프로젝트 진행 상황을 한동안 따라잡지 못했기 때문에  밸런서가 언제부터 서드파티 토큰을 스테이킹 인센티브로 직접 지원하기 시작했는지는 공식 웹사이트에 표시된 것만으로는 잘 모르겠다. 공개적으로 조정할 수 있는 공식적인 설정이 아니라면, 무력감을 느낄 수밖에 없다!

이 모든 것을 설정한 후 골든 보이즈는 컴파운드에 대한 거버넌스 공격을 시작했다. 올해 5월, 그들은 컴파운드 트레저리가 관리하는 COMP의 5%, 약 92,000 COMP를 골든 보이즈의 멀티서명 지갑으로 이전하는 첫 번째 제안을 제안했다. 이 COMP는 골드컴프 볼트에 스테이킹되어 유동성 채굴 보상을 받고, 1년 동안 잠기게 된다. 물론 목표는 이 토큰과 관련된 거버넌스 권한을 획득하는 것이었다. 당연히 이 제안은 통과되지 못했는데, 실제 비즈니스 지원이 부족하고 초보적인 것처럼 보였기 때문이다. 게다가 토큰 배포 후 토큰의 전체 운영이 다중 서명 지갑을 기반으로 하여 악의적인 의도로 보일 가능성이 높아 커뮤니티의 광범위한 반대에 직면했다.

그러나 Humpy는 포기하지 않고 커뮤니티 구성원들과 힘을 합쳤고 컴파운드의 타임락 계약을 사용하여 다중 서명 지갑 토큰 사용을 승인하면 이러한 우려를 완화할 수 있다고 주장했다. 따라서 7월 20일에 동일한 금액이지만 앞서 언급한 효과를 구현하기 위해 트러스트 설정 계약을 통해 다중 서명 지갑을 감독하는 추가 조치를 요청하는 두 번째 제안을 시작했다.  그러나 컨트랙트 코드를 살펴보니 세 가지 상태만 설정되어 있었다. 컴파운드 타임락이 투자를 허용하도록 컨트랙트 상태를 수정하면 다중 서명 지갑은 이 토큰을 자유롭게 사용할 수 있었다. 이 제안도 부결되었지만 찬성 투표 수가 크게 증가했다. 이는 골든 보이즈가 지속적으로 제안을 최적화하고 더 많은 승인을 얻고 있다는 인상을 주었고, 세 번째 제안이 통과된 오늘까지 모든 사람을 어리둥절하게 만들었다.

승인된 제안서에는 결정적인 차이점이 있었는데, 바로 요청된 COMP의 양이 92,000이 아니라 무려 499,000이었다는 점이다.  하지만 이번 제안이 열흘 만에 지지 표가 6배나 급증하는 등 근소한 차이로 통과되자, Humpy의 '계략'을 쉽게 물리칠 수 있다고 자신했던 커뮤니티는 큰 충격을 받았다. 이는 커뮤니티에서 전혀 예상하지 못했던 결과였으며, 분명 Humpy의 치밀한 계획에 의한 것이었다. 이 제안이 통과됨에 따라 Humpy는 사실상 컴파운드의 소유주가 되어 모든 제안을 지배하게 된다. 현재 보유 지분이 반대파의 지분을 초과하는 데다 새로 확보한 499,000개의 COMP 의결권을 고려할 때, 컴파운드는 의심할 여지 없이 인수될 것이 확실하다.

이 사건의 영향은 전례가 없다. 모든 디파이 상품은 유사한 문제를 방지하기 위해 거버넌스 모델을 재검토해야 할 것이다. 계속해서 사태의 추이를 지켜보겠다. 밸런서 경험으로 볼 때, 컴파운드 커뮤니티 내 갈등의 최종 결과를 예측하기는 어렵다. 이 글을 작성하는 시점을 기준으로, 컴파운드 커뮤니티가 Humpy와 예비적으로 합의에 도달한 것으로 확인되었다. Humpy는 COMP 토큰에 대한 요구를 포기하기로 합의했다. 대신 컴파운드는 프로토콜의 연간 총 수익 증가분의 30%를 COMP 토큰 보유자들과 공유한다. 이전에는 이러한 수익은 팀에서 시장 준비금으로 관리했다. 이번 변경으로 COMP 토큰은 공식적으로 수익을 창출하는 자산이 되었다.. 다시 한 번 거버넌스 전쟁에서 험피가 승리했다!