문웰, 1800달러 규모 거버넌스 공격으로 100만 달러 위험

• 1,800달러 상당의 자금으로 약 4,000만 MFAM 토큰을 매집하여 거버넌스 공격이 발생했습니다.
• 문리버(Moonriver) 네트워크 내 7개 대출 시장에 예치된 약 108만 달러의 이용자 자금이 탈취 위험에 처했습니다.
• 투표 마감 시한은 3월 27일이며, 프로토콜의 비상 제어 장치인 '브레이크 글래스 가디언(Break Glass Guardian)'이 개입을 준비 중입니다.

거버넌스 취약점 노린 공격 발생

폴카닷 생태계 기반의 탈중앙화 대출 프로토콜인 문웰(Moonwell)이 저비용 거버넌스 공격을 받았습니다. 신원 미상의 공격자는 단돈 1,800달러로 4,000만 MFAM 토큰을 확보하여 프로토콜의 권한을 장악하려는 악성 제안을 통과시켰습니다. 토큰 매수부터 제안 생성, 정족수 돌파까지 걸린 시간은 단 11분에 불과했습니다.

해당 제안은 문리버에 배치된 프로토콜 핵심 계약의 관리 권한을 공격자의 계약으로 이전하는 내용을 담고 있습니다. 여기에는 7개의 대출 시장, 컴트롤러(Comptroller), 그리고 오라클(Oracle)에 대한 통제권이 포함됩니다. 제안이 실행될 경우 공격자는 프로토콜 내 자금을 임의로 인출할 수 있게 됩니다.

자금 위협 및 방어 전략

온체인 분석에 따르면 현재 노출된 사용자 자금 규모는 약 108만 달러로 추산됩니다. 유동성이 낮고 투표권이 집중된 틈을 타 공격자의 제안이 빠르게 정족수를 채웠으나, 이후 커뮤니티의 반대 투표가 이어지며 현재는 반대 여론이 우세한 상황입니다.

공격을 저지하기 위한 두 가지 방안이 논의되고 있습니다:

• 커뮤니티 반대 투표: 3월 27일 마감 전까지 토큰 보유자들이 결집하여 공격자의 투표수를 압도하는 방식입니다.
• 비상 개입: '브레이크 글래스 가디언'으로 불리는 비상용 멀티시그(Multisig)가 거버넌스 프로세스를 무력화하고 공격자의 권한을 박탈할 수 있습니다.

반복되는 구조적 문제

이번 사건은 DeFi 프로토콜에서 거버넌스 토큰의 분배가 불균형할 때 발생할 수 있는 구조적 결함을 여실히 보여줍니다. 2022년 빈스토크(Beanstalk)에서 발생한 1억 8,000만 달러 규모의 공격과 비교하면 규모는 작지만, 단돈 1,800달러로 백만 달러 이상의 자금을 위협했다는 점에서 충격을 주고 있습니다. 과거 컴파운드(Compound)나 스워브 파이낸스(Swerve Finance) 등도 유사한 거버넌스 공격 위협을 겪은 바 있습니다.

특히 문웰은 지난 2월에도 코인베이스 래핑 이더리움(cbETH) 오라클 설정 오류로 인해 180만 달러 규모의 불량 부채가 발생한 바 있어, 이번 사건으로 인한 보안 신뢰도 회복이 시급한 과제로 떠오르고 있습니다.