핵심 요약:
- 공격자들은 KelpDAO의 단일 검증자 LayerZero 브릿지를 악용하여 2억 9,200만 달러 상당의 담보 없는 rsETH 토큰을 발행했습니다.
- Aave와 Mantle이 주도하는 'DeFi United'라는 프로토콜 연합이 복구 노력을 위해 결성되었습니다.
- 리플(Ripple)의 CTO는 과거 보안 설정에 대한 공식 성명과 상충되는 점을 들어 LayerZero의 공식 설명을 비판했습니다.
뒤로
뒤로
KelpDAO 익스플로잇으로 2억 9,200만 달러 유출, LayerZero 브릿지 리스크 노출
LayerZero가 지원하는 KelpDAO의 크로스체인 브릿지 인프라에서 발생한 중대한 취약점으로 인해 4월 18일 2억 9,200만 달러 규모의 익스플로잇이 발생했습니다. 이로 인해 담보 없는 rsETH 토큰이 생성되었고 Aave 대출 프로토콜에 유동성 위기가 촉발되었습니다.
Altura DeFi의 COO인 매튜 피녹(Matthew Pinnock)은 Decrypt와의 인터뷰에서 이번 공동 대응이 생태계가 "고립된 프로토콜을 넘어 보다 조율된 금융 시스템으로 이동하고 있다"는 신호이지만, 여전히 책임 소재를 규명하는 데 집중해야 한다고 말했습니다.
Chainalysis 보고서에 따르면 북한의 라자루스 그룹(Lazarus Group)으로 추정되는 공격자들은 내부 RPC 노드를 오염시켜 자산의 가짜 소각(phantom burn)을 보고하도록 함으로써 LayerZero의 단일 검증자 네트워크를 침해했습니다. 이를 통해 이더리움 상에서 116,500 rsETH를 무단으로 발행할 수 있었습니다.
이 사건으로 인해 영향을 받은 프로토콜에서 150억 달러 이상의 TVL이 증발했으며, 주요 DeFi 플레이어들의 대규모 공동 복구 노력이 시작되는 한편 크로스체인 브릿지 아키텍처의 보안과 중앙집중화에 대한 심각한 의문이 제기되었습니다.
복구를 위해 뭉친 DeFi
자금 부족에 대응하여 'DeFi United'라는 브랜드의 프로토콜 연합이 부실 채권을 흡수하기 위해 결성되었습니다. 이번 노력에는 Aave 설립자 스타니 쿨레초프(Stani Kulechov)의 개인적인 5,000 ETH 기부 약속과 Aave DAO에 30,000 ETH 신용 한도를 제공하겠다는 Mantle의 제안이 포함되었습니다. Lido Finance, Golem Foundation, Ether.fi도 수백만 달러 규모의 지원을 약속했습니다. 아비트럼(Arbitrum) 보안 위원회는 법 집행 기관과 협력하여 공격자의 하위 주소와 연결된 약 7,150만 달러 상당의 30,766 ETH를 성공적으로 동결했습니다.
설정에 대한 의문
이번 사건의 여파는 LayerZero의 보안 태세에 대한 의문으로 인해 더욱 커졌습니다. 리플의 CTO 데이비드 슈워츠(David Schwartz)는 LayerZero의 CEO 브라이언 펠레그리노(Bryan Pellegrino)가 2024년 12월에 했던 발언을 강조했습니다. 당시 펠레그리노는 프로토콜 거래량의 "0%"만이 단일 탈중앙화 검증 네트워크(DVN)에 의존하고 있다고 주장했습니다. 슈워츠는 "2024년 12월과 지금 사이에 무엇이 변했는가?"라고 반문하며, 공격이 설명된 대로 발생하지 않았거나 이전의 보안 주장이 정확하지 않았을 가능성을 시사했습니다. LayerZero는 이번 익스플로잇이 KelpDAO의 특정 단일 DVN 설정에 국한된 것이라고 주장하고 있습니다.
이 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.