주요 내용:
- Aave는 크로스체인 익스플로잇으로 대출 풀이 소진된 후 3억 달러의 유동성을 회복했습니다
- 공격자는 손상된 Kelp 브릿지를 통해 116,500개의 위조 rsETH 토큰을 발행했습니다
- Aave는 295개의 파라미터 업데이트와 자동 LTV0 서킷 브레이커를 배포했습니다
뒤로
Aave, 크로스체인 익스플로잇 이후 3억 달러 유동성 회복
Aave는 위조 rsETH 토큰을 통한 크로스체인 익스플로잇으로 자산이 소진된 후 대출 풀에 3억 달러의 유동성을 완전히 복구했으며, 업계 전반의 구제 기금을 동원하고 도난 자본을 대체하기 위해 연방 법원의 긴급 명령을 확보했습니다.
개발자들은 6월 1일 Aave가 3억 달러 규모의 크로스체인 익스플로잇 이후 대출 풀의 유동성을 완전히 회복했다고 밝혔습니다. 이를 위해 업계 전반의 구제 기금을 동원하고 소진된 자산을 대체하기 위해 연방 법원의 긴급 명령을 확보했습니다.
Aave Labs의 대변인은 사후 보고서에서 "이번 복구를 위해서는 Lido, Ether.fi, Ethena 및 Compound 전반에 걸친 협력이 필요했으며, 이는 손상된 포지션을 뒷받침하기 위한 것이었습니다"라고 말했습니다.
공격자는 4월 18일 Kelp 및 LayerZero가 운영하는 타사 브릿지를 악용해 크로스체인 메시지를 조작하여 116,500개의 위조 rsETH 토큰을 발행했습니다. 해커는 이 가짜 rsETH를 이더리움의 Aave V3 플랫폼에 담보로 예치하고 82,650개의 래핑된 이더(wrapped ether)와 821개의 래핑된 스테이킹 이더(wrapped staked ether)를 대출받아 프로토콜의 핵심 유동성 풀을 구조적으로 약화시켰습니다. 리스크 관리자들은 영향을 받은 시장을 동결하여 플랫폼 자본에 대한 연쇄적인 런(run)을 방지했습니다.
이번 사건은 DeFi의 크로스체인 인프라에 대한 심각한 취약점을 드러냈습니다. 단 하나의 브릿지가 손상되어도 가장 큰 대출 프로토콜의 유동성이 고갈될 수 있다는 점이 입증된 것입니다. Aave는 295개의 개별 파라미터 업데이트와 함께, 크로스체인 인프라가 침해를 당한 모든 자산의 담보 가치를 제거하는 자동 서킷 브레이커를 도입했습니다.
3억 달러 백스톱(Backstop)과 법적 장애물
구멍을 메우기 위해 Aave Labs는 Lido, Ether.fi, Ethena 및 Compound를 포함한 주요 업계 플레이어들의 긴급 협력체를 구성하는 데 도움을 주었습니다. 이 그룹은 함께 손상된 rsETH 자산을 뒷받침하는 3억 달러 규모의 복구 기금을 조성했으며, 이를 통해 사용자 예치금의 모든 달러가 정품 준비금으로 완전히 담보된 상태를 유지하도록 보장했습니다.
그러나 유동성 회복 과정은 5월 1일 법적 장애물에 직면했습니다. 관련 없는 연방 사건의 판결 채권자들이 가압류 명령을 얻어내면서, 공격자로부터 회수되어 Aave 풀을 재충전할 예정이었던 약 7,100만 달러 상당의 이더가 동결된 것입니다. Aave는 5월 4일 미국 연방 법원에 긴급 신청을 제출했고, 4일 후 판사는 7,100만 달러를 즉시 Aave의 관리 하에 이전할 수 있도록 하는 수정 명령을 승인했습니다. 개발자들은 이 자금을 프로토콜의 활성 대출 풀에 투입하여 안전한 시장 운영에 필요한 유동성 깊이를 회복했습니다.
295개의 파라미터 업데이트와 새로운 리스크 아키텍처
자본 준비금이 완전히 재충전되고 익스플로잇 이전의 시장 파라미터가 복원됨에 따라, Aave는 리스크 아키텍처를 전면 개편하여 미래의 제3자 시스템 장애로부터 유동성을 보호했습니다. 개발자들은 168개의 개별 자산 풀에 걸쳐 차입 및 공급 한도를 대폭 축소하는 295개의 개별 파라미터 업데이트를 실행했습니다.
또한 프로토콜은 자동 LTV0 서킷 브레이커를 구현했습니다. 향후 어떤 자산의 기반이 되는 크로스체인 인프라가 보안 침해를 경험할 경우, 시스템은 즉시 해당 자산의 담보 가치를 제거하여 손상된 토큰이 더 이상 Aave 시장에서 정품 유동성을 차입하거나 소진하는 데 사용될 수 없도록 합니다.
온체인 추적 결과, Chainalysis가 북한의 라자루스 그룹(Lazarus Group)과 연관지은 Kelp DAO 공격자는 동결된 자금 외에 남아있던 약 2억 2,000만 달러 중 대부분을 세탁한 것으로 나타났습니다. Arbitrum에 동결된 7,100만 달러는 현재 회수 가능성이 있는 주요 식별 풀로 남아 있습니다.
이 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.
