핵심 요약:
크로스체인 메시징 프로토콜 LayerZero는 지난 4월 Kelp DAO에서 2억 9,200만 달러 규모의 익스플로잇을 허용했던 치명적인 보안 과실에 대해 책임을 공개적으로 인정하고, 네트워크 전반의 보안 점검을 약속했습니다.
상세한 사후 분석 보고서에서 LayerZero 경영진은 가치가 높은 애플리케이션이 단일 장애점(single point of failure)을 형성하는 단일 검증인 구성으로 운영되도록 방치한 것에 대해 모든 책임을 졌습니다. 회사는 "우리 DVN이 무엇을 보호하고 있는지 제대로 감독하지 못했으며, 이는 우리가 전혀 예상하지 못한 리스크를 초래했다"고 밝히며, 초기 커뮤니케이션과는 크게 다른 입장을 보였습니다.
북한의 라자루스 그룹(Lazarus Group)의 소행으로 널리 추정되는 4월 18일 공격은 2026년 현재까지 가장 큰 규모의 DeFi 보안 사고로 기록되어 있습니다. LayerZero 핵심 프로토콜 자체는 뚫리지 않았으나, 공격자들은 LayerZero Labs가 자체 운영하는 탈중앙화 검증인 네트워크(DVN)에서 사용하는 데이터 소스를 오염시켰습니다. 이를 통해 Kelp DAO로부터 117,132 rsETH를 탈취했으며, 그중 일부는 이후 Aave 대출 프로토콜에서 담보로 사용되어 약 1억 9,000만 달러의 부실 채권을 발생시켰습니다.
이번 사건의 여파로 업계 전반에서는 크로스체인 브리지 보안과 개발자의 자율성 및 프로토콜 수준의 보호 장치 사이의 절충안에 대한 재평가가 이루어지고 있습니다. 그 결과, Kelp DAO는 LayerZero에서 Chainlink의 크로스체인 상호운용성 프로토콜(CCIP)로 이전한다고 발표했으며, Aave와 협력한 초기 복구 조치 이후 rsETH 출금을 재개하기 시작했습니다.
LayerZero는 생태계 전반의 취약점을 제거하기 위해 즉각적인 조치에 나섰습니다. 회사는 자사의 DVN이 더 이상 어떤 프로젝트에 대해서도 1-of-1 설정을 지원하지 않을 것이라고 발표했습니다. 기본 설정은 여러 검증인을 요구하도록 업그레이드 중이며, 이상적으로는 5개, 선택지가 제한적인 경우에도 최소 3개를 요구하게 됩니다.
Kelp DAO는 남은 LayerZero 브리징 설정을 4개의 독립적인 증명자를 요구하도록 업데이트하고 블록 확인 횟수를 42회에서 64회로 늘렸음을 확인했습니다.
이번 공격은 더 광범위한 복구 노력으로 이어졌습니다. Aave는 영향받은 프로토콜들을 지원하기 위해 3억 달러 이상의 ETH를 모금한 'DeFi United' 이니셔티브를 주도했습니다. 하지만 미국 법원이 공격자와 연결된 Arbitrum 네트워크상의 동결된 ETH 7,200만 달러에 대해 제한 조치를 내리면서, 일부 회수된 자금의 사용이 법적 문제로 복잡해진 상태입니다.
LayerZero는 이번 사고에도 불구하고 4월 중순 이후 90억 달러 이상의 가치가 프로토콜을 통해 문제없이 전송되었다고 밝혔습니다. 회사는 현재 프로젝트들이 설정을 관리하고 이상 징후를 감지할 수 있도록 Rust 기반 DVN 클라이언트와 강화된 Console 플랫폼을 포함한 새로운 툴을 출시하고 있으며, 기본적으로 더 엄격하고 안전한 표준을 강제함으로써 신뢰를 재구축하는 것을 목표로 하고 있습니다.
이 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.
