티임락 없는 거버넌스 허점…토큰 오브 파워서 158만달러 탈취

13일(현지시간) 블록체인 보안업체 TRM 랩스에 따르면 ‘토큰 오브 파워(Token of Power)’ 프로토콜에서 약 158만달러 규모의 이더리움(ETH) 기반 자산이 유출됐다. 공격자는 ‘티임락’이 없는 거버넌스 구조를 악용해 한 블록 안에서 제안과 투표, 실행을 모두 끝내며 자금 탈취에 성공했다.

662 ETH로 표 확보…10억개 토큰 발행 뒤 WETH로 전환

TRM 랩스 분석에 따르면 공격자는 토네이도 캐시(Tornado Cash)에서 인출한 662 ETH로 작업을 시작했다. 이후 충분한 TOP 토큰을 매수해 의결권을 확보하고, 100억 개의 새 TOP를 민팅한 뒤 발렌서(Balancer) 풀에서 WETH로 교환했다. 이렇게 확보한 자금은 다시 토네이도 캐시로 흘러들어간 것으로 전해졌다. 다만 토네이도 캐시 자체가 해킹된 것은 아니며, 자금 조달과 경로 우회에 활용된 것으로 보인다.

‘티임락’ 없는 DAO는 공격 표적 되기 쉬워

이번 사례는 탈중앙화 거버넌스가 형식상으로는 분산돼 보여도, 실제로는 설계 허점 하나가 치명적 약점이 될 수 있다는 점을 보여준다. 티임락은 제안이 바로 실행되지 않도록 시간을 두는 장치로, 사용자와 개발자, 보안팀이 대응할 여지를 만든다. 그러나 이번처럼 지연 장치가 없으면 악의적 투표가 즉시 자금 유출로 이어질 수 있다.

디파이 보안의 핵심은 코드만이 아니다

디파이(DeFi)에서는 스마트계약 오류뿐 아니라 거버넌스 조건, 재무 통제, 투표 임계치도 중요한 위험 요소로 꼽힌다. 시장에서는 가격 변동성에 시선이 쏠리기 쉽지만, 실제 사고는 프로토콜 구조와 운영 방식에서 발생하는 경우가 적지 않다. 이런 점에서 이번 사건은 보안 점검이 ‘코드 감사’에만 머물러서는 안 된다는 경고로 읽힌다.

시장에 남는 교훈은 ‘설계 리스크’

이번 사건은 단순한 해킹 소식이 아니라, 프로토콜 설계가 곧 보안이라는 사실을 다시 강조한다. TRM 랩스 보고서처럼 온체인 데이터와 보안 분석이 시장 해석의 중요한 기준이 되는 만큼, 향후에는 탈취 자금의 추가 이동과 프로토콜 측 후속 대응이 핵심 관전 포인트가 될 전망이다.

---

기사요약 by TokenPost.ai
🔎 시장 해석
티임락(지연 실행 장치)이 없는 거버넌스 구조가 실질적 단일 실패 지점으로 작동하며, 단 한 블록 내 제안·투표·실행이 동시에 이뤄지는 ‘즉시 실행형 DAO’의 구조적 취약성이 드러남.
가격 변동성보다 프로토콜 설계 리스크가 실제 손실로 직결된 사례로, 온체인 거버넌스 신뢰성에 대한 경계 심리가 확대될 가능성.
💡 전략 포인트
투자 전 체크: 타임락 존재 여부, 최소 참여율(쿼럼), 제안 지연, 민팅 권한, 금고 접근 권한 구조.
시총이 작고 유통량이 얕은 토큰은 ‘의결권 장악 비용’이 낮아 공격 표적이 되기 쉬움.
보안 평가는 코드 감사뿐 아니라 거버넌스 파라미터와 재무 통제까지 포함해야 함.
사고 발생 시 자금 흐름(믹서·DEX 이동)을 빠르게 추적하는 온체인 데이터가 핵심 정보원.
📘 용어정리
타임락(Time-lock): 제안 통과 후 실제 실행까지 지연 시간을 두는 안전장치.
거버넌스 공격: 토큰 매집 등으로 의결권을 확보해 규칙을 악용하는 공격 방식.
WETH: 이더리움을 디파이에서 사용하기 위해 ERC-20 형태로 래핑한 토큰.
토네이도 캐시: 거래 추적을 어렵게 하는 프라이버시 믹서 서비스.
Balancer: 다양한 토큰을 교환하는 자동화 유동성 풀(DEX).

💡 자주 묻는 질문 (FAQ)

Q. 이번 사건의 핵심 원인은 무엇인가요? 핵심 원인은 ‘타임락이 없는 거버넌스 설계’입니다. 공격자는 토큰을 매집해 의결권을 장악한 뒤, 제안·투표·실행을 한 블록 내에서 동시에 처리해 대량 토큰을 민팅하고 이를 WETH로 교환해 탈취했습니다. Q. Tornado Cash와 Balancer도 해킹된 건가요? 아닙니다. 두 플랫폼 자체의 취약점은 아니며, Tornado Cash는 자금 세탁 경로로, Balancer는 토큰 교환 장소로 사용됐습니다. 실제 문제는 Token of Power의 거버넌스 구조였습니다. Q. 디파이 투자 시 어떤 점을 특히 주의해야 하나요? 코드 감사 여부뿐 아니라 타임락, 의결권 분포, 민팅 권한, 금고 통제 등 거버넌스 구조를 함께 확인해야 합니다. 특히 시가총액이 작은 프로젝트는 적은 비용으로 의결권 장악이 가능해 더 큰 위험에 노출됩니다. TP AI 유의사항 TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.