Aave는 오랫동안 “blue-chip” DeFi 프로토콜로 여겨져 왔지만, 진짜 보안 스토리는 스마트 컨트랙트보다 더 큽니다. 거버넌스는 공격 표면(attack surface) 입니다. 지난 몇 년은 감사를 잘 받은 시스템조차도 투표 메커니즘, 위임된 권한, 토큰 유동성, 제안 실행 경로를 통해 압박될 수 있음을 보여줬습니다—특히 인센티브와 정치가 충돌할 때 더 그렇습니다.
이 글은 현대적인 governance attack DeFi 패턴의 관점에서 Aave security를 해부합니다. 여기에는 DAO governance exploit 벡터, flash loan governance 관련 우려, 그리고 DeFi 전반에서 실제로 관찰된 실용적인 voting manipulation 전술이 포함됩니다. 우리의 초점은 창업자, 개발자, 리스크 팀이 바로 적용할 수 있는 교훈입니다: 거버넌스 공격이 실제로 어떻게 작동하는지, 어떤 통제가 중요한지, DAO를 설계하거나 강화할 때 “좋은 상태”가 무엇인지.
Soken (soken.io)은 255+ published audits를 수행했으며, DeFi 보안 리뷰와 침투 테스트를 통해 프로젝트를 지원합니다—컨트랙트 레벨뿐 아니라 거버넌스, 관리자(admin), 운영 통제까지 포함해서요. 이 글의 목적은 추상적인 경고가 아니라 실행 가능하고 구현 가능한 가이드를 제공하는 것입니다.
What “Aave security” really means: governance is part of the threat model
Aave security에는 거버넌스 보안이 포함됩니다. 왜냐하면 적대적인 제안은 코드가 감사되었더라도 리스크 파라미터를 바꾸고, 인센티브를 다른 곳으로 돌리며, 핵심 컨트랙트를 업그레이드할 수 있기 때문입니다. 실제로 거버넌스 실패는 “정상적인” 프로세스가 “정상적인” 행동을 실행한 것처럼 보이는 경우가 많아, 기존의 익스플로잇보다 탐지와 대응이 더 어렵습니다.
Aave의 설계는—많은 성숙한 DeFi 프로토콜처럼—핵심 의사결정을 토큰 홀더 거버넌스에 연결합니다: 파라미터 변경, 상장(listing), 트레저리 이동, 업그레이드, 비상 대응 등. 이는 탈중앙화에 도움이 되지만 동시에 레버를 만듭니다: 투표를 장악하면, 프로토콜을 장악한다.
Quotable (40–60 words):
“Aave security is not only about preventing smart contract bugs; it’s about preventing malicious or captured governance from making ‘valid’ changes that damage users. A governance attack can pass every on-chain check and still be catastrophic—because the protocol is doing exactly what governance told it to do.”
Why governance is attractive to attackers
- High leverage: 한 번의 성공한 제안으로 리스크 파라미터, 오라클 선택, 업그레이드 훅을 통해 수십억 TVL 노출에 영향을 줄 수 있습니다.
- Legitimacy camouflage: 체인에는 정상적인 제안, 정상적인 투표, 정상적인 실행으로 보입니다.
- Slower detection: “재진입 패턴”보다 “투표”를 경보로 잡아내기는 훨씬 어렵습니다.
Aave-adjacent governance risk themes to watch
단일 “헤드라인 해킹”이 없더라도, Aave와 다른 DAO들은 반복적으로 다음 이슈를 마주합니다: - Delegation concentration (소수의 delegate가 결과를 좌우) - Liquidity-driven voting power (투표 가중치가 단기간에 빠르게 축적 가능) - Complex cross-chain governance (서로 다른 bridge/relayer와 timelock) - Operational governance (제안 생성, guardian, veto를 누가 통제하는가)
Soken은 보통 거버넌스를 시스템으로 리뷰합니다: 토큰 분배 + 위임 + 제안 라이프사이클 + 실행 통제 + 오프체인 프로세스.
How a governance attack in DeFi works (and why “flash loan governance” is only one variant)
DeFi에서의 거버넌스 공격은 보통 일련의 단계입니다: 영향력 확보 → 제안 통과 또는 강제 → 특권 변경 실행 → 가치 추출 또는 시스템 리스크 유발. 일부 설계에서는 flash loans가 역할을 할 수 있지만, 실제 세계에서의 투표 조작은 더 단순한 경우가 많습니다: 빌리거나, 모으거나, 매수(bribe)하거나, 위임을 장악하는 것입니다.
거버넌스 공격은 종종 “flash loan governance”로 묘사되지만, 많은 선도 DAO들은 이미 vote snapshots, staking, time-weighted mechanisms로 순수 flash-loan 투표를 완화했습니다. 그럼에도 공격자는 OTC 축적, 거버넌스 bribe 마켓, delegate 장악, 제안 임계값(threshold) 악용 등 다른 경로를 선택할 수 있습니다.
Quotable (40–60 words):
“Most governance attacks are not magic; they are staged. The attacker first gains voting power (buy, borrow, bribe, or capture delegates), then uses the DAO’s legitimate process to approve harmful configuration or upgrades. The most dangerous phase is execution, because it turns a political win into a technical takeover.”
A practical “governance attack DeFi” kill chain (common pattern)
- Acquire voting power
- 시장에서 매수하거나, OTC로 확보하거나, 투표권이 보유(custody)에 따라가는 구조라면 대여를 활용합니다.
- 로비 또는 사칭/사회공학으로 위임된 표를 모읍니다.
- Meet proposal thresholds
- 일부 DAO는 제안 생성에 최소 토큰 요건이 있으며, 공격자는 이를 전제로 계획합니다.
- Shape narrative and timing
- 관심이 낮은 시기에 제안하고, 유권자 무관심을 악용합니다.
- Pass the vote
- bribes, vote markets, 또는 조직적인 공조로 승리합니다.
- Execute via timelock or admin path
- timelock이 짧으면 방어자는 개입할 시간이 거의 없습니다.
- Monetize
- 트레저리를 빼거나, 수수료를 바꾸거나, 악성 담보를 화이트리스트하거나, 오라클을 조정하거나, 업그레이드를 배포합니다.
What “flash loan governance” really implies
Flash loans가 치명적이 되는 경우는 다음과 같습니다: - 투표권이 신뢰할 만한 snapshot 없이 현재 잔고(current balance) 로 결정될 때 - lockup도 없고, staking도 없으며, anti-flash-loan 설계가 없을 때 - 제안 생성과 투표가 같은 블록에서 일어나거나, 조작 가능한 짧은 창(window) 안에서 진행될 때
현대 시스템은 이 리스크를 줄였지만, “flash-loanable이 아니다”는 “공격 불가” 를 의미하지 않습니다. 여기서의 Aave security 교훈은 flash loans만이 아니라 영향력 메커니즘에 있습니다.
DAO governance exploit patterns: the highest-impact real-world failure modes
가장 파괴적인 DAO governance exploit은 보통 파라미터 사보타주, 악성 업그레이드, 트레저리 탈취를 포함하며—약한 timelock, 집중된 위임, 모호한 제안 범위가 이를 가능하게 하는 경우가 많습니다. 이런 실패는 “평범한 거버넌스”처럼 보이기 때문에, 코드만큼이나 프로세스 통제와 모니터링이 중요합니다.
아래는 보안 팀이 명시적으로 모델링해야 할 가장 흔한 익스플로잇 클래스입니다.
Quotable (40–60 words):
“A DAO governance exploit usually succeeds because of one missing control: insufficient delay before execution, too much delegated power in too few hands, or upgrade permissions that allow broad code changes. The exploit may not require a single smart-contract bug—only a governance pathway to change what the contracts are allowed to do.”
1) Malicious or risky parameter changes (silent protocol sabotage)
“거버넌스 승인”으로 일어날 수 있는 피해 예시: - 완화된 파라미터로 high-risk collateral을 상장하거나 활성화 - 청산 임계값을 낮추거나 borrow cap을 위험하게 높임 - 수수료 라우팅을 공격자가 통제하는 주소로 변경 - 손상되었거나 유동성이 낮은 오라클을 선택
2) Upgrade / executor privilege misuse
거버넌스가 구현(implementation) 업그레이드나 모듈 교체를 할 수 있다면, 공격자는: - 겉보기 검증은 통과하지만 백도어가 있는 구현을 배포 - “일시적” 권한을 부여한 뒤 회수하지 않음 - 접근통제 역할(guardians, admins, executors)을 변경
3) Treasury extraction via “legitimate” proposals
트레저리 제안은 자주 표적이 됩니다: - 페이퍼컴퍼니/셸 엔티티에 대한 grant - 집행 가능한 산출물 없이 “서비스 제공자”에게 지급 - 취소 권한이 약한 스트리밍 지급
트레저리 리스크의 잘 알려진 기준 사례로는, 공격자가 flash-loan-driven voting으로 투표를 통과시켜 자금을 탈취한 Beanstalk governance incident (2022) 가 있습니다. 이는 “유효한 거버넌스(valid governance)”라도 투표권이 조작 가능하면 절도가 될 수 있음을 보여준 대표적인 거버넌스 익스플로잇으로 널리 보도되었습니다.
4) Bribery and vote-market capture (less visible, very real)
온체인 bribe 마켓은 “투표 대가 지급(pay for votes)” 행태를 사실상 표준화했습니다. 불법이 아니더라도 다음 문제를 야기할 수 있습니다: - 의사결정이 briber 손에 집중 - 단기 가치 추출을 유도 - 거버넌스 결과가 프로토콜 건강이 아니라 외부 수익률에 종속
5) Cross-chain and bridge-mediated governance
거버넌스 액션이 체인을 가로질러 전파될 때: - 메시지 relayer와 bridge가 “거버넌스 인프라”가 됩니다 - 재전송(replay), 지연(delay), 검증 실패가 거버넌스 비동기(desync)를 유발할 수 있습니다 - 멀티체인 executor 역할은 피해 범위를 확장합니다
Soken의 DeFi 보안 리뷰에는 보통 governance execution-path mapping이 포함되며, 특히 cross-chain 메시징 또는 여러 timelock이 얽힌 경우를 중점적으로 봅니다.
Voting manipulation in practice: signals, metrics, and the uncomfortable truths
Voting manipulation은 보통 갑작스러운 투표권 집중, 비정상적인 위임 흐름, 낮은 참여율로 핵심 제안이 통과되는 현상, bribe 기반 투표 급증으로 나타납니다. 최선의 방어는 이러한 지표를 지속적으로 측정하고, “저렴한 영향력”이 빠르게 “돌이킬 수 없는 실행”으로 이어지지 않도록 거버넌스 규칙을 강화하는 것입니다.
많은 DAO들은 너무 늦게서야 자신의 거버넌스가 사실상 다음에 의해 좌우된다는 점을 깨닫습니다: - 소수의 delegate - 중앙화 거래소(토큰이 커스터디에 있고, 그들이 투표하거나 영향력을 행사할 수 있는 경우) - 이해관계가 맞는 소수의 whale
Quotable (40–60 words):
“Voting manipulation is rarely subtle: it often appears as rapid accumulation of voting power, abrupt delegation changes, or proposals passing with low turnout but high influence from a small cluster. If your governance can be won in a weekend with borrowed liquidity or bribes, you should treat it as a production security issue.”
What to monitor (practical checklist)
- Top delegate concentration: 상위 5 / 상위 10 delegate가 보유한 투표권 비율
- Delegation churn: 핵심 투표 직전 단일 주소로 갑작스러운 위임 유입
- Turnout vs. impact: 참여율은 낮지만 핵심 리스크 설정을 바꾸는 제안
- Voting power source: 투표권이 최근에 확보되었는가(신규 매수/차입)?
- Bribe correlation: bribe 캠페인과 맞물린 투표량 급증
- Proposal ambiguity: 무해한 액션 + 위험한 액션을 섞은 “bundle proposals”
A risk scoring approach (simple but effective)
제안은 다음 3가지 축으로 점수화할 수 있습니다: 1. Scope: 업그레이드/오라클/리스크 파라미터/트레저리를 변경하는가? 2. Reversibility: 해당 액션을 빠르고 안전하게 되돌릴 수 있는가? 3. Execution speed: timelock과 운영 대응 윈도우가 얼마나 긴가?
범위가 크고 + 되돌리기 어렵고 + timelock이 짧으면 = red alert.
Comparison table: governance attack vectors and the controls that actually work
거버넌스 공격 리스크를 줄이는 최선의 방법은 계층적 통제입니다: 견고한 투표 집계, 의미 있는 timelocks, 범위가 제한된 executors, 그리고 투명한 정책을 갖춘 비상 브레이크. 단일 메커니즘으로 모든 것을 막을 수는 없으며, 성숙한 프로토콜은 여러 보호장치를 겹겹이 사용합니다.
Quotable (40–60 words):
“There is no single ‘anti-governance-attack’ feature. Strong DAOs combine vote snapshots or staking, high timelock delays for sensitive actions, tightly scoped executors, and independent monitoring with clear emergency playbooks. The goal is to make influence expensive, changes reviewable, and catastrophic actions reversible before execution.”
Governance attack vs mitigation (high-citation comparison)
| Attack vector | How it works | Why it succeeds | Best-practice mitigations | Residual risk |
|---|---|---|---|---|
| Flash-loan voting | 조작 가능한 윈도우 내에서 일시적으로 투표권을 확보 | snapshot/lock 부재; 같은 블록 거버넌스 | Snapshot 기반 투표, staking/lockups, 투표권 지연 | 대출이 snapshot 윈도우를 가로질러 지속되면 차입이 여전히 통할 수 있음 |
| Borrowed token accumulation | 투표 기간 동안(플래시가 아닌) 토큰을 차입 | 투표권이 custody를 따라감; 저렴한 차입 금리 | Voting escrow (veToken), 최소 보유 기간, anti-borrow vote rules | UX가 복잡; 참여를 줄일 수 있음 |
| Delegate capture | 사회공학 또는 인센티브로 위임을 획득 | delegate 풀이 작음; 투명성 부족 | delegate 투명성, 상한(caps), 다변화된 위임 프로그램 | “정치적” 장악을 막기 어려움 |
| Bribe-market manipulation | 투표자에게 대가를 지급해 제안을 지지하게 함 | 투표자가 수익률에 반응; 낮은 참여율 | 민감 액션에 더 높은 quorum, bribe 공개, vote-delay windows | bribes가 오프체인으로 이동할 수 있음 |
| Malicious upgrade proposal | 거버넌스로 컨트랙트를 공격자 코드로 업그레이드 | 과도하게 넓은 업그레이드 권한 | Scoped executors, code-hash allowlists, 업그레이드별 독립 감사 | 감사가 로직 레벨의 rug 의도를 놓칠 수 있음 |
| Treasury-drain proposal | 공격자에게 “정상적” 전송/스트림을 실행 | 제안 리뷰 부실; 책임성 약함 | 다단계 승인, 상한(caps), clawbacks가 있는 vesting, 투명성 | 담합(collusion)은 여전히 가능 |
| Cross-chain governance desync | 체인별로 실행 결과가 달라짐 | 메시징/bridge 복잡성 | Canonical messaging, replay protection, 체인별 timelocks | bridge/relayer 리스크는 지속 |
DeFi lessons from Aave-style governance: a hardened design and operations blueprint
핵심 교훈은 거버넌스를 프로덕션 인프라처럼 엔지니어링해야 한다는 것입니다: 명확한 권한 경계, 고영향 액션에 대한 느린 실행, 지속적인 모니터링, 감사된 업그레이드 경로. 거버넌스를 단지 커뮤니티 프로세스가 아니라 “특권 접근(privileged access)”으로 취급하세요.
여기서 “Aave security”는 업계 전반에 시사점을 줍니다: 성숙한 프로토콜은 점점 일상적(routine) 결정과 위험한(dangerous) 결정을 분리하고, 되돌리기 어려운 피해가 가능한 구간에는 마찰을 추가합니다.
Quotable (40–60 words):
“A hardened DAO assumes some voters will be bribed, some delegates will be captured, and some proposals will be adversarial. The defence is structural: segment permissions, enforce timelocks, require higher thresholds for high-risk actions, and run governance monitoring like incident response. Security is governance design plus operations.”
A governance hardening blueprint (founder-ready)
- Segment powers by risk
- 트레저리, 리스크 파라미터, 업그레이드, 상장(listings)에 대해 서로 다른 executor를 사용합니다.
- Use meaningful timelocks
- 민감한 액션은 미관/경미 변경보다 더 긴 지연을 가져야 합니다.
- Raise thresholds for “dangerous” actions
- 업그레이드, 오라클 변경, 트레저리 유출에 더 높은 quorum/supermajority를 적용합니다.
- Add proposal scope constraints
- 무관한 액션을 섞는 bundled proposals를 피합니다.
- Pre-execution verification
- 시뮬레이션 결과, 변경 diff, 리스크 평가를 공개합니다.
- Emergency controls with clear legitimacy
- 브레이크 글래스(break-glass) 역할은 투명하고, 제한적이며, 감사 가능해야 합니다.
- Independent monitoring
- 위임 변화, 투표 급증, 고위험 제안 생성에 대한 알림을 구축합니다.
Operational controls investors and compliance teams should expect
- Documented governance policies (무엇이 어떤 임계값을 요구하는지, 그 이유)
- delegate 및 서비스 제공자에 대한 Conflict-of-interest disclosure
- 업그레이드 및 주요 파라미터 변경에 대한 Security review gates
- 성공한 해킹뿐 아니라 근접 사고에 대한 Post-mortem culture
Soken은 종종 DeFi security reviews를 통해 이러한 노력을 지원합니다. 여기에는 거버넌스 및 admin 경로가 포함되며, 프로토콜의 성숙도와 법무/컴플라이언스 환경에 맞춘 실용적인 권고를 제공합니다.
“Rift” lesson: governance disputes are also security events
어떤 상황이 “rift”(정치적 갈등, 논쟁적 제안, 생태계 의견 충돌)로 프레이밍되더라도, 다음 이유로 보안 이벤트로 취급해야 합니다: - 서둘러 변경할 가능성이 커짐 - 기회주의적 거버넌스 공격자를 끌어들임 - delegate가 분열되고 참여율이 낮아져 장악 비용이 내려감
보안 팀은 시장 변동성이나 대규모 업그레이드 시기처럼, 논쟁이 큰 기간에는 모니터링을 강화해야 합니다.
Conclusion: governance is the next frontier of DeFi security
Aave가 DeFi에 주는 더 큰 교훈은 간단합니다: 컨트랙트를 감사해도 거버넌스로 프로토콜을 잃을 수 있습니다. 가장 회복력 있는 DAO는 투표 조작 시도가 있을 것을 전제로, 마찰, 권한 분리, 투명성, 그리고 대응 시간을 갖춘 거버넌스를 설계합니다. flash loans는 도구 중 하나일 뿐이며, 진짜 문제는 “저렴한 영향력”이 “강력한 executors”를 만나는 지점입니다.
DeFi 프로토콜을 런칭하거나 확장 중이라면, Soken은 smart contract auditing & penetration testing, DeFi security reviews (including governance, bridges, staking, and risk parameters), 그리고 255+ published audits에 기반한 보안 중심 설계 가이드를 통해 코드와 거버넌스를 함께 강화하도록 도울 수 있습니다.
다음 업그레이드 또는 주요 투표 전에 DeFi security review 및 거버넌스 위협 모델 평가를 예약하려면 https://soken.io 에서 Soken에 문의하세요.