핵심 요약
KelpDAO는 2억 9,200만 달러 규모의 취약점 공격으로 준비금이 고갈된 후, rsETH 크로스체인 브릿지를 LayerZero에서 Chainlink의 CCIP(Cross-Chain Interoperability Protocol)로 이전하고 있습니다. 이번 조치는 LayerZero의 OFT 표준을 포기하고 Chainlink의 더 탈중앙화된 검증 모델을 선택한 것을 의미합니다.
해당 프로토콜은 발표를 통해 "KelpDAO의 Chainlink CCIP 이전은 공격의 핵심이었던 아키텍처적 취약점을 직접적으로 해결한다"고 밝혔으며, 이는 올해 DeFi 분야 최대 보안 사고 중 하나를 겪은 후 보안 태세의 근본적인 변화를 보여줍니다.
북한의 라자루스 그룹(Lazarus Group)과 예비적으로 연계된 것으로 추정되는 4월 18일의 공격으로 인해 공격자는 브릿지의 보안 설정을 훼손하여 약 116,500 rsETH를 탈취했습니다. Chainalysis에 따르면, 이번 공격은 오프체인 인프라를 손상시켜 해커가 존재하지 않는 트랜잭션에 대해 검증인이 자금을 방출하도록 속일 수 있었습니다. 분쟁의 중심은 단일 실패 지점을 만든 1-of-1 탈중앙화 검증인 네트워크(DVN) 설정에 있습니다.
이번 사건은 디지털 자산 공간에서 해커들의 주요 목표인 크로스체인 브릿지 아키텍처의 시스템적 리스크를 강조합니다. KelpDAO가 경쟁사로 공개적으로 이전한 것은 LayerZero에 상당한 압박을 가하며, 보안과 단순성 사이의 인프라 절충안을 평가하는 프로토콜들에게 중요한 사례 연구가 되고 있습니다.
취약점의 핵심은 KelpDAO가 LayerZero Labs만 트랜잭션을 검증하면 되는 단일 DVN 구성을 사용했다는 점입니다. LayerZero의 사후 분석 보고서는 이 설정이 권장되는 멀티 DVN 모델과 "직접적으로 상충"한다고 밝혔습니다. 그러나 KelpDAO는 "진실을 밝히며(Setting the Record Straight)"라는 제목의 메모를 발표하며 LayerZero 직원이 해당 구성을 인지하고 승인했다고 주장하며 반박했습니다.
KelpDAO는 대화 스크린샷을 제시하고 LayerZero의 자체 개발자 문서와 GitHub 예시를 지적하며, 단일 DVN 설정이 기본값으로 표시되어 있었다고 주장했습니다. CoinGecko가 인용한 Dune Analytics 데이터에 따르면, 당시 45억 달러 이상의 가치를 나타내는 활성 LayerZero 애플리케이션의 47%가 유사한 1-of-1 구성을 사용하고 있었습니다.
LayerZero는 이후 단일 검증인 설정을 금지했으며, 프로토콜 자체는 "의도한 대로 정확히 작동"했으나 Kelp가 "수동으로 1/1로 다운그레이드했다"고 밝혔습니다. 인프라 제공업체는 또한 보안 연구원 Sujith Somraaj가 이전에 동일한 공격 벡터에 대해 버그 바운티 보고서를 제출했으나, LayerZero가 이를 애플리케이션 수준의 오설정으로 간주하여 범위 밖(out of scope)으로 거부했었다고 언급했습니다.
이에 대응하여 KelpDAO는 인프라 제공업체를 교체할 뿐만 아니라 rsETH에 대해 Chainlink의 크로스체인 토큰 표준을 채택하고 있습니다. Chainlink의 CCIP 프레임워크는 단일 검증인 모델을 최소 16개의 독립적인 노드 운영자로 구성된 탈중앙화 네트워크로 대체하여 단일 실패 지점의 위험을 크게 완화합니다.
이번 공격의 여파는 이더리움 DeFi 생태계 전반으로 확산되었는데, 공격자가 탈취한 rsETH를 Aave와 같은 대출 시장에 담보로 예치하고 약 2억 3,600만 달러 규모의 다른 자산을 빌렸기 때문입니다. 이로 인해 Aave는 추가적인 유동성 압박을 방지하기 위해 여러 시장을 동결해야 했습니다. 사건 이후 LayerZero가 참여한 "DeFi United" 이니셔티브는 rsETH의 담보 가치를 복구하기 위해 3억 달러 이상을 모금했습니다.
이 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.
