서명 설정 오류 하나만으로 아무것도 없는 상태에서 2억 9200만 달러 상당의 토큰이 생성될 수 있다면, 신뢰가 필요 없는 금융이라는 개념 자체가 이름에서 암시하는 것보다 훨씬 더 불안정해 보인다.

공격이 어떻게 작동했는가

2026년 4월 18일, 공격자는 LayerZero 기반의 KelpDAO 크로스체인 브리지에서 발견된 취약점을 악용하여 약 2억 9,200만 달러 상당의 rsETH 토큰 116,500개를 탈취했습니다. 이는 전체 rsETH 유통량의 약 18%에 해당하는 규모이며, LayerZero 프로토콜 자체의 결함이 아닌 Kelp가 브리지를 구성한 방식의 오류로 인해 발생한 것입니다.

해당 시스템은 크로스체인 메시지 인증을 위해 단일 검증 지점에 의존했습니다. 공격자는 이 지점을 찾아내 악용했고, 전송되어서는 안 될 메시지가 전송되었습니다. 연구원들은 나중에 "서명 하나와 116,500 rsETH 토큰이 이더리움 상에서 갑자기 나타났다"고 설명했습니다. 이 토큰들은 Aave를 비롯한 실제 자산을 빌리는 데 담보로 사용되었고, 프로토콜이 일시 중단되기 전에 모두 소진되었습니다.

라자루스 그룹의 지문

침해 발생 후 3일 만에 블록체인 분석 회사인 체이나리시스(Chainalysis)는 이를 공개했습니다. 공격의 원인으로 지목됨 믹서 사용 패턴과 자금 분산 방식이 북한의 라자루스 그룹과 일치하는 것으로 분석되었습니다. 이러한 분석은 라자루스 그룹이 지난 몇 년간 가장 활발하게 온체인에서 자금을 훔쳐온 집단으로, 탈중앙화 금융(DeFi) 프로토콜을 표적으로 삼아온 전력과 일맥상통합니다.

이번 손실 규모는 2026년 발생한 DeFi 해킹 사건 중 가장 큰 규모로, Drift 해킹 사건보다 수백만 달러 더 큰 피해를 입혔습니다. 올해 들어 누적된 DeFi 손실액은 30건이 넘는 사건을 통해 7억 7천만 달러를 넘어섰는데, 이는 성숙 단계에 접어든 산업의 성장통이라고 보기 어려운 수치입니다.

디파이가 구원투수로 나선다

그 후 벌어진 일은 관점에 따라 놀라운 협력의 결과물이거나, DeFi의 안전망이 전적으로 비공식적이라는 사실을 다시 한번 상기시켜주는 사건으로 볼 수 있습니다.

Aave는 Lido Finance, EtherFi 및 기타 주요 프로토콜을 포함하는 "DeFi United"라는 연합을 소집하여 Aave의 대출 풀에 남은 부족분을 메우기 위해 ETH를 제공했습니다. 4월 21일, Arbitrum의 네트워크 보안 위원회는 공격자 소유의 30,766 ETH(약 7,100만 달러)를 동결하여 도난 자산의 약 25%를 회수했습니다. 스탠다드차타드는 업계의 대응을 회복력의 신호라고 평가하는 보고서를 발표했습니다. 그러나 더 넓은 암호화폐 커뮤니티는 이보다 신중하지 못한 반응을 보였습니다. 일부에서는 디파이(DeFi)가 죽었다고 선언하고 있다 노골적인.

변경해야 할 사항

토요일에 발표된 코인데스크의 사후 분석 보고서는 크로스체인 브리지가 DeFi의 가장 고질적인 취약점이라고 지적합니다. 이는 웜홀 브리지와 로닌 브리지 공격 사건 이후 업계에서 이미 인지하고 있던 문제입니다. 패턴은 일관적입니다. 브리지의 복잡성은 공격 표면을 만들고, 빠른 출시를 위한 동기가 신중한 검증을 위한 동기보다 앞서는 경향이 있습니다.

이번 사건에서 가장 불편한 점은 정교한 제로데이 공격이 아니었다는 것입니다. 단순한 설정 오류였습니다. 레이어제로의 인프라는 설계대로 작동했지만, 켈프(Kelp)의 배포 방식에 문제가 있었습니다. 이는 단순히 감사만으로 해결하기에는 훨씬 더 어려운 문제입니다. 공유 인프라를 사용하는 모든 프로토콜은 코드뿐만 아니라 크로스체인 메시지의 신뢰도와 유효성 검증을 좌우하는 모든 매개변수를 검증해야 하기 때문입니다.

KelpDAO와 Aave는 여전히 복구 작업을 진행 중입니다. 한편, Lazarus Group은 자금 세탁을 위해 약 2억 9200만 달러 상당의 자산을 보유하고 있는 것으로 추정됩니다. 암호화폐 업계에서는 어떤 일은 다른 일보다 훨씬 빠르게 진행됩니다.

---------------

저자: 라이언 가드너
진실icon 밸리 뉴스 데스크

또 다른 DeFi 프로토콜이 피해를 입었습니다. 이더리움, 베이스, 베라체인, 블래스트 블록체인에서 운영되는 무기한 선물 거래 플랫폼인 와사비 프로토콜(Wasabi Protocol)은 4월 30일 공격자가 배포 관리자 키를 탈취하여 네 개 블록체인 전체의 볼트 컨트랙트를 조직적으로 비워버리는 방식으로 450만 달러에서 550만 달러 사이의 손실을 입었습니다.

공격은 신속하고 체계적이었습니다. 공격자는 관리자 키를 확보하자마자 Wasabi의 권한 계약에서 grantRole을 호출하여 시간 제한이나 대기 시간 없이 즉시 완전한 관리자 권한을 획득했습니다. 그 후, 블록에 따르면그들은 프로토콜의 범죄자 금고와 롱 풀을 악의적인 방식으로 업그레이드하여 단순히 잔액을 고갈시켰습니다.

무엇이 맞았나요?

이더리움에서는 Wasabi의 wWETH, sUSDC, wBITCON, wPEPE 및 Long Pool 볼트가 공격의 영향을 받았습니다. 베이스에서는 sUSDC, wWETH, sBTC, sVIRTUAL, sAERO 및 sBRETT 볼트가 공격을 받았습니다. Berachain과 Blast의 공격도 전체 손실 규모를 증가시켰습니다.

보안 회사인 블록에이드(Blockaid)는 해당 취약점이 발생했을 때 이를 감지하여 최소한 일부 사용자에게 대응할 시간을 제공했지만, 관리자 키가 탈취되면 프로토콜 자체에서 할 수 있는 일은 거의 없습니다. 공격자는 업그레이드 메커니즘을 장악하고 계약을 재작성했습니다.

보안 실패는 어처구니없을 정도로 기본적인 수준에서 발생했습니다.

이번 사고는 예방이 가능했기에 더욱 안타깝습니다. 근본 원인은 새로운 제로데이 취약점이나 복잡한 재진입 버그, 또는 암호화 기본 요소의 미묘한 예외 상황이 아니었습니다. Wasabi의 PerpManager에서 외부 소유의 단일 계정이 관리자 권한(ADMIN_ROLE)을 보유하고 있었고, 멀티시그(multisig) 요구 사항도, 타임락(timelock)도, 해당 접근을 보호하는 관리 프로세스도 없었기 때문입니다.

이는 실제 사용자 자금을 관리하는 모든 프로토콜에 필수적인 보안 조치입니다. 권한이 필요한 작업에 여러 개의 서명 키를 요구하거나, 업그레이드 적용 전에 24시간 또는 48시간의 지연 시간을 두는 것만으로도 이번 공격을 완전히 막을 수 있었을 것입니다. 타임락 기능만으로도 사용자와 보안 연구원들이 악성 거래가 대기열에 추가된 것을 알아차리고 실행되기 전에 대응할 시간을 확보할 수 있었을 것입니다.

와사비는 이러한 보호 조치를 건너뛰고 그 대가를 치르는 최초의 프로토콜은 아닙니다. 그리고 마지막도 아닐 것입니다. 하지만 DeFi에서 중앙 집중식 관리자 키가 유출되는 빈도와, 사후 분석에서 멀티시그나 타임락이 전혀 적용되지 않았다는 사실이 밝혀지는 빈도는 업계 발전 수준을 고려할 때 진정으로 설명하기 어려운 부분입니다.

배경: 역대 최악의 달

와사비(Wasabi) 취약점은 2026년 4월 말에 발생했는데, 이 시기는 암호화폐 해킹 추적이 시작된 이래 최악의 달로 기록되었습니다. DeFiLlama는 4월에 총 30건의 해킹 사건이 발생했으며, 피해액은 6억 2,500만 달러를 넘어섰다고 확인했습니다. 이는 하루에 약 한 건의 공격이 발생한 셈입니다. 특히 드리프트 프로토콜(Drift Protocol) 소셜 엔지니어링 공격으로 인한 피해액 약 2억 8,500만 달러와 켈프DAO(KelpDAO) 레이어제로 브리지 취약점 공격으로 인한 피해액 약 2억 9,200만 달러가 집중되었는데, 연구진은 두 사건 모두 북한의 라자루스 그룹(Lazarus Group) 소행으로 보고 있습니다.

와사비의 5백만 달러 손실은 다른 수치에 비하면 적어 보이지만, 공격 대상이 대규모 브리지 계약이나 자금력이 풍부한 프로토콜에만 국한되지 않는다는 점을 상기시켜 줍니다. 실제 사용자 예치금이 있고 보호되지 않은 관리자 키 하나만 있는 소규모 무기한 계약 플랫폼도 마찬가지로 취약하며, 이러한 플랫폼을 표적으로 삼을 경제적 동기는 분명히 존재합니다.

사용자가 알아야 할 사항

Wasabi Protocol은 해당 볼트를 일시 중지하고 소셜 미디어 채널을 통해 이번 사건에 대해 공지했습니다. 해당 계약에 포지션이나 예치금이 있는 사용자는 Wasabi 공식 채널을 통해 직접 상태를 확인하고, DM으로 전송되는 복구 제안에 대해서는 주의를 기울여야 합니다. 이러한 사기 행위는 악용 자체만큼이나 허위 환불 사기일 수 있으므로 주의해야 합니다.

2026년 4월의 교훈은 업계가 끊임없이 되새겨야 할 중요한 사실입니다. 거래 인터페이스가 아무리 훌륭하고, 수수료가 아무리 경쟁력 있고, 프로토콜이 아무리 많은 TVL을 축적했더라도 소용없습니다. 관리자 키가 아무런 안전장치 없이 단 한 번의 거래로 모든 자금을 빼돌릴 수 있다면, 결국 누군가는 그 키를 손에 넣게 될 것입니다. 따라서 이를 염두에 두고 시스템을 구축해야 합니다.

---------------

저자: 앨런 워드
시애틀 뉴스 데스크

북한은 어떻게 디파이(DeFi)의 시스템을 통해 2억 9200만 달러를 훔쳤을까?

탈중앙화 금융(DeFi)은 지난 한 주 동안 매우 힘든 시기를 보냈습니다. 말 그대로 "존립 위기"에 직면할 정도로 심각한 상황이었습니다. 4월 18일, 북한의 라자루스 그룹으로 추정되는 공격자들이 켈프 DAO의 크로스체인 브릿지를 악용하여 약 2억 9200만 달러 상당의 11만 6500 rsETH를 탈취했습니다. 이 충격파로 인해 48시간 만에 탈중앙화 금융 전반에 걸쳐 총 130억 달러 이상의 자산이 증발했습니다.

이는 2026년 최대 규모의 DeFi 공격이며, 업계에서 수년간 경고해 온 취약점을 드러냈습니다.

실제로 일어난 일

이번 공격의 근본 원인은 실행 과정은 기술적으로는 정교했지만 개념적으로는 놀라울 정도로 간단했습니다. 켈프 DAO의 브리지는 크로스체인 메시징을 위해 레이어제로(LayerZero)를 사용했는데, 1:1 검증자(verifier)로 구성되어 있어 자금 이동 전에 모든 크로스체인 메시지를 검증하는 역할을 단일 노드가 담당하도록 되어 있었습니다.

라자루스 그룹은 검증기를 직접 해킹할 필요가 없었습니다. 대신, 해당 검증기에 데이터를 제공하는 두 개의 원격 프로시저 호출(RPC) 노드를 장악했습니다. 이 노드들을 제어한 후, 레이어제로를 통해 가짜 크로스체인 메시지를 주입하여 브리지가 절대 건드려서는 안 될 자금을 풀어놓도록 속였습니다. CoinDesk에 따르면도난당한 rsETH는 20개 이상의 블록체인 네트워크에 퍼져 있어 신속한 차단이 거의 불가능합니다.

1대1 구성이 결정적인 실패 지점이었습니다. 다중 검증자 구성에서는 공격자가 여러 개의 독립적인 노드를 동시에 침해해야 하므로 훨씬 더 어려운 작업이 됩니다. 하지만 단일 실패 지점이 국가 차원의 막대한 자금 지원을 받은 해킹 작전으로 무너졌습니다.

그 여파: 디파이(DeFi)의 아찔한 경험

rsETH는 여러 레이어 2 네트워크의 다양한 프로토콜에서 담보로 사용되었기 때문에 피해는 Kelp DAO에만 국한되지 않았습니다. Aave, SparkLend, Fluid는 신속하게 자산을 동결했지만, 이미 시장 전반에서 반응이 나타난 후였습니다. Aave에서만 48시간 만에 84억 5천만 달러의 예치금이 유출되었습니다.

해당 부문의 총 예치자산(TVL)은 이틀 만에 13억 달러 이상 감소했습니다. Crypto.news가 보도했습니다. 2026년 4월은 2025년 2월 1.4억 달러 규모의 바이비트(Bybit) 해킹 사건 이후 암호화폐 해킹 피해가 가장 심각한 달로, 18일 동안 6억 6백만 달러 이상의 손실이 발생했습니다.

공동 대응의 일환으로 Aave의 창립자 스타니 쿨레초프는 Lido Finance 및 EtherFi와 협력하여 이더리움 보유량을 활용해 부족분을 메우는 방안을 제안했습니다. 이는 프로토콜 간 협력의 이례적인 사례로, 더 광범위한 부실채권 확산을 막았을 가능성이 있습니다.

레이어제로(LayerZero)는 이번 공격의 배후로 라자루스(Lazarus) 산하의 하위 그룹인 트레이더트레이터(TraderTraitor)를 공식적으로 지목했습니다. 트레이더트레이터는 2022년 로닌 브리지(Ronin Bridge) 해킹과 올해 초 바이빗(Bybit) 거래소 해킹을 포함하여 최근 몇 년간 가장 큰 규모의 암호화폐 해킹 사건을 저지른 바 있습니다.

이것이 교량 보안에 미치는 영향은 무엇일까요?

켈프 DAO 공격 사건이 증명하는 것이 있다면, 그것은 암호화 브리지가 여전히 업계에서 가장 위험한 공격 표면이라는 점입니다. 최근 발생한 거의 모든 주요 프로토콜 해킹은 동일한 기본 문제를 악용했습니다. 즉, 신뢰해서는 안 되는 크로스체인 메시지를 신뢰한 것입니다.

이론적으로 해결책은 복잡하지 않습니다. 다중 검증자 설정, 분산형 RPC 노드 네트워크, 브리지 인프라에 대한 독립적인 보안 감사 등을 도입하면 보안 수준을 크게 높일 수 있습니다. 문제는 인프라 구축 비용을 절감하는 것이 종종 "신속하게 진행해야 한다"는 명분으로 합리화된다는 점입니다. 그러다 보면 무한한 인내심을 가진 국가가 이를 악용하려 들게 됩니다.

이번 해킹 사태 이후 DeFi의 회복세는 비교적 순조로워 보입니다. Aave의 안전 모듈은 제 역할을 다했고, 프로토콜들은 신속하게 대응했으며, 주요 플랫폼 중 어느 곳도 붕괴되지 않은 것으로 나타났습니다. 하지만 DeFi 업계는 48시간 만에 13억 달러 규모의 손실을 입었습니다. 1대1 검증기를 운영하는 다음 브리지는 이처럼 운이 좋을지 장담할 수 없습니다.

---------------

저자: 라이언 가드너
진실icon 밸리 뉴스 데스크