티임락 없는 거버넌스 허점…토큰 오브 파워서 158만달러 탈취

류하진 기자

2026.06.14 (일) 23:26

토큰 오브 파워 프로토콜에서 티임락이 없는 거버넌스 구조가 악용되며 158만달러 규모의 ETH 기반 자산이 탈취됐다고 전했다.

이번 사건은 디파이 보안이 코드 감사뿐 아니라 거버넌스 설계와 재무 통제까지 함께 점검해야 한다는 경고로 읽힌다.

티임락 없는 거버넌스 허점…토큰 오브 파워서 158만달러 탈취 / TokenPost.ai

13일(현지시간) 블록체인 보안업체 TRM 랩스에 따르면 ‘토큰 오브 파워(Token of Power)’ 프로토콜에서 약 158만달러 규모의 이더리움(ETH) 기반 자산이 유출됐다. 공격자는 ‘티임락’이 없는 거버넌스 구조를 악용해 한 블록 안에서 제안과 투표, 실행을 모두 끝내며 자금 탈취에 성공했다.

662 ETH로 표 확보…10억개 토큰 발행 뒤 WETH로 전환

TRM 랩스 분석에 따르면 공격자는 토네이도 캐시(Tornado Cash)에서 인출한 662 ETH로 작업을 시작했다. 이후 충분한 TOP 토큰을 매수해 의결권을 확보하고, 100억 개의 새 TOP를 민팅한 뒤 발렌서(Balancer) 풀에서 WETH로 교환했다. 이렇게 확보한 자금은 다시 토네이도 캐시로 흘러들어간 것으로 전해졌다. 다만 토네이도 캐시 자체가 해킹된 것은 아니며, 자금 조달과 경로 우회에 활용된 것으로 보인다.

‘티임락’ 없는 DAO는 공격 표적 되기 쉬워

이번 사례는 탈중앙화 거버넌스가 형식상으로는 분산돼 보여도, 실제로는 설계 허점 하나가 치명적 약점이 될 수 있다는 점을 보여준다. 티임락은 제안이 바로 실행되지 않도록 시간을 두는 장치로, 사용자와 개발자, 보안팀이 대응할 여지를 만든다. 그러나 이번처럼 지연 장치가 없으면 악의적 투표가 즉시 자금 유출로 이어질 수 있다.

디파이 보안의 핵심은 코드만이 아니다

디파이(DeFi)에서는 스마트계약 오류뿐 아니라 거버넌스 조건, 재무 통제, 투표 임계치도 중요한 위험 요소로 꼽힌다. 시장에서는 가격 변동성에 시선이 쏠리기 쉽지만, 실제 사고는 프로토콜 구조와 운영 방식에서 발생하는 경우가 적지 않다. 이런 점에서 이번 사건은 보안 점검이 ‘코드 감사’에만 머물러서는 안 된다는 경고로 읽힌다.

시장에 남는 교훈은 ‘설계 리스크’

이번 사건은 단순한 해킹 소식이 아니라, 프로토콜 설계가 곧 보안이라는 사실을 다시 강조한다. TRM 랩스 보고서처럼 온체인 데이터와 보안 분석이 시장 해석의 중요한 기준이 되는 만큼, 향후에는 탈취 자금의 추가 이동과 프로토콜 측 후속 대응이 핵심 관전 포인트가 될 전망이다.

[마켓분석] 달러는 박스권인데 원화만 무너졌다

알파리포트 전문 보기 →

기사요약 by TokenPost.ai
🔎 시장 해석
티임락(지연 실행 장치)이 없는 거버넌스 구조가 실질적 단일 실패 지점으로 작동하며, 단 한 블록 내 제안·투표·실행이 동시에 이뤄지는 ‘즉시 실행형 DAO’의 구조적 취약성이 드러남.
가격 변동성보다 프로토콜 설계 리스크가 실제 손실로 직결된 사례로, 온체인 거버넌스 신뢰성에 대한 경계 심리가 확대될 가능성.
💡 전략 포인트
투자 전 체크: 타임락 존재 여부, 최소 참여율(쿼럼), 제안 지연, 민팅 권한, 금고 접근 권한 구조.
시총이 작고 유통량이 얕은 토큰은 ‘의결권 장악 비용’이 낮아 공격 표적이 되기 쉬움.
보안 평가는 코드 감사뿐 아니라 거버넌스 파라미터와 재무 통제까지 포함해야 함.
사고 발생 시 자금 흐름(믹서·DEX 이동)을 빠르게 추적하는 온체인 데이터가 핵심 정보원.
📘 용어정리
타임락(Time-lock): 제안 통과 후 실제 실행까지 지연 시간을 두는 안전장치.
거버넌스 공격: 토큰 매집 등으로 의결권을 확보해 규칙을 악용하는 공격 방식.
WETH: 이더리움을 디파이에서 사용하기 위해 ERC-20 형태로 래핑한 토큰.
토네이도 캐시: 거래 추적을 어렵게 하는 프라이버시 믹서 서비스.
Balancer: 다양한 토큰을 교환하는 자동화 유동성 풀(DEX).