서명 설정 오류 하나만으로 아무것도 없는 상태에서 2억 9200만 달러 상당의 토큰이 생성될 수 있다면, 신뢰가 필요 없는 금융이라는 개념 자체가 이름에서 암시하는 것보다 훨씬 더 불안정해 보인다.

공격이 어떻게 작동했는가

2026년 4월 18일, 공격자는 LayerZero 기반의 KelpDAO 크로스체인 브리지에서 발견된 취약점을 악용하여 약 2억 9,200만 달러 상당의 rsETH 토큰 116,500개를 탈취했습니다. 이는 전체 rsETH 유통량의 약 18%에 해당하는 규모이며, LayerZero 프로토콜 자체의 결함이 아닌 Kelp가 브리지를 구성한 방식의 오류로 인해 발생한 것입니다.

해당 시스템은 크로스체인 메시지 인증을 위해 단일 검증 지점에 의존했습니다. 공격자는 이 지점을 찾아내 악용했고, 전송되어서는 안 될 메시지가 전송되었습니다. 연구원들은 나중에 "서명 하나와 116,500 rsETH 토큰이 이더리움 상에서 갑자기 나타났다"고 설명했습니다. 이 토큰들은 Aave를 비롯한 실제 자산을 빌리는 데 담보로 사용되었고, 프로토콜이 일시 중단되기 전에 모두 소진되었습니다.

라자루스 그룹의 지문

침해 발생 후 3일 만에 블록체인 분석 회사인 체이나리시스(Chainalysis)는 이를 공개했습니다. 공격의 원인으로 지목됨 믹서 사용 패턴과 자금 분산 방식이 북한의 라자루스 그룹과 일치하는 것으로 분석되었습니다. 이러한 분석은 라자루스 그룹이 지난 몇 년간 가장 활발하게 온체인에서 자금을 훔쳐온 집단으로, 탈중앙화 금융(DeFi) 프로토콜을 표적으로 삼아온 전력과 일맥상통합니다.

이번 손실 규모는 2026년 발생한 DeFi 해킹 사건 중 가장 큰 규모로, Drift 해킹 사건보다 수백만 달러 더 큰 피해를 입혔습니다. 올해 들어 누적된 DeFi 손실액은 30건이 넘는 사건을 통해 7억 7천만 달러를 넘어섰는데, 이는 성숙 단계에 접어든 산업의 성장통이라고 보기 어려운 수치입니다.

디파이가 구원투수로 나선다

그 후 벌어진 일은 관점에 따라 놀라운 협력의 결과물이거나, DeFi의 안전망이 전적으로 비공식적이라는 사실을 다시 한번 상기시켜주는 사건으로 볼 수 있습니다.

Aave는 Lido Finance, EtherFi 및 기타 주요 프로토콜을 포함하는 "DeFi United"라는 연합을 소집하여 Aave의 대출 풀에 남은 부족분을 메우기 위해 ETH를 제공했습니다. 4월 21일, Arbitrum의 네트워크 보안 위원회는 공격자 소유의 30,766 ETH(약 7,100만 달러)를 동결하여 도난 자산의 약 25%를 회수했습니다. 스탠다드차타드는 업계의 대응을 회복력의 신호라고 평가하는 보고서를 발표했습니다. 그러나 더 넓은 암호화폐 커뮤니티는 이보다 신중하지 못한 반응을 보였습니다. 일부에서는 디파이(DeFi)가 죽었다고 선언하고 있다 노골적인.

변경해야 할 사항

토요일에 발표된 코인데스크의 사후 분석 보고서는 크로스체인 브리지가 DeFi의 가장 고질적인 취약점이라고 지적합니다. 이는 웜홀 브리지와 로닌 브리지 공격 사건 이후 업계에서 이미 인지하고 있던 문제입니다. 패턴은 일관적입니다. 브리지의 복잡성은 공격 표면을 만들고, 빠른 출시를 위한 동기가 신중한 검증을 위한 동기보다 앞서는 경향이 있습니다.

이번 사건에서 가장 불편한 점은 정교한 제로데이 공격이 아니었다는 것입니다. 단순한 설정 오류였습니다. 레이어제로의 인프라는 설계대로 작동했지만, 켈프(Kelp)의 배포 방식에 문제가 있었습니다. 이는 단순히 감사만으로 해결하기에는 훨씬 더 어려운 문제입니다. 공유 인프라를 사용하는 모든 프로토콜은 코드뿐만 아니라 크로스체인 메시지의 신뢰도와 유효성 검증을 좌우하는 모든 매개변수를 검증해야 하기 때문입니다.

KelpDAO와 Aave는 여전히 복구 작업을 진행 중입니다. 한편, Lazarus Group은 자금 세탁을 위해 약 2억 9200만 달러 상당의 자산을 보유하고 있는 것으로 추정됩니다. 암호화폐 업계에서는 어떤 일은 다른 일보다 훨씬 빠르게 진행됩니다.

---------------

저자: 라이언 가드너
진실icon 밸리 뉴스 데스크

북한은 어떻게 디파이(DeFi)의 시스템을 통해 2억 9200만 달러를 훔쳤을까?

탈중앙화 금융(DeFi)은 지난 한 주 동안 매우 힘든 시기를 보냈습니다. 말 그대로 "존립 위기"에 직면할 정도로 심각한 상황이었습니다. 4월 18일, 북한의 라자루스 그룹으로 추정되는 공격자들이 켈프 DAO의 크로스체인 브릿지를 악용하여 약 2억 9200만 달러 상당의 11만 6500 rsETH를 탈취했습니다. 이 충격파로 인해 48시간 만에 탈중앙화 금융 전반에 걸쳐 총 130억 달러 이상의 자산이 증발했습니다.

이는 2026년 최대 규모의 DeFi 공격이며, 업계에서 수년간 경고해 온 취약점을 드러냈습니다.

실제로 일어난 일

이번 공격의 근본 원인은 실행 과정은 기술적으로는 정교했지만 개념적으로는 놀라울 정도로 간단했습니다. 켈프 DAO의 브리지는 크로스체인 메시징을 위해 레이어제로(LayerZero)를 사용했는데, 1:1 검증자(verifier)로 구성되어 있어 자금 이동 전에 모든 크로스체인 메시지를 검증하는 역할을 단일 노드가 담당하도록 되어 있었습니다.

라자루스 그룹은 검증기를 직접 해킹할 필요가 없었습니다. 대신, 해당 검증기에 데이터를 제공하는 두 개의 원격 프로시저 호출(RPC) 노드를 장악했습니다. 이 노드들을 제어한 후, 레이어제로를 통해 가짜 크로스체인 메시지를 주입하여 브리지가 절대 건드려서는 안 될 자금을 풀어놓도록 속였습니다. CoinDesk에 따르면도난당한 rsETH는 20개 이상의 블록체인 네트워크에 퍼져 있어 신속한 차단이 거의 불가능합니다.

1대1 구성이 결정적인 실패 지점이었습니다. 다중 검증자 구성에서는 공격자가 여러 개의 독립적인 노드를 동시에 침해해야 하므로 훨씬 더 어려운 작업이 됩니다. 하지만 단일 실패 지점이 국가 차원의 막대한 자금 지원을 받은 해킹 작전으로 무너졌습니다.

그 여파: 디파이(DeFi)의 아찔한 경험

rsETH는 여러 레이어 2 네트워크의 다양한 프로토콜에서 담보로 사용되었기 때문에 피해는 Kelp DAO에만 국한되지 않았습니다. Aave, SparkLend, Fluid는 신속하게 자산을 동결했지만, 이미 시장 전반에서 반응이 나타난 후였습니다. Aave에서만 48시간 만에 84억 5천만 달러의 예치금이 유출되었습니다.

해당 부문의 총 예치자산(TVL)은 이틀 만에 13억 달러 이상 감소했습니다. Crypto.news가 보도했습니다. 2026년 4월은 2025년 2월 1.4억 달러 규모의 바이비트(Bybit) 해킹 사건 이후 암호화폐 해킹 피해가 가장 심각한 달로, 18일 동안 6억 6백만 달러 이상의 손실이 발생했습니다.

공동 대응의 일환으로 Aave의 창립자 스타니 쿨레초프는 Lido Finance 및 EtherFi와 협력하여 이더리움 보유량을 활용해 부족분을 메우는 방안을 제안했습니다. 이는 프로토콜 간 협력의 이례적인 사례로, 더 광범위한 부실채권 확산을 막았을 가능성이 있습니다.

레이어제로(LayerZero)는 이번 공격의 배후로 라자루스(Lazarus) 산하의 하위 그룹인 트레이더트레이터(TraderTraitor)를 공식적으로 지목했습니다. 트레이더트레이터는 2022년 로닌 브리지(Ronin Bridge) 해킹과 올해 초 바이빗(Bybit) 거래소 해킹을 포함하여 최근 몇 년간 가장 큰 규모의 암호화폐 해킹 사건을 저지른 바 있습니다.

이것이 교량 보안에 미치는 영향은 무엇일까요?

켈프 DAO 공격 사건이 증명하는 것이 있다면, 그것은 암호화 브리지가 여전히 업계에서 가장 위험한 공격 표면이라는 점입니다. 최근 발생한 거의 모든 주요 프로토콜 해킹은 동일한 기본 문제를 악용했습니다. 즉, 신뢰해서는 안 되는 크로스체인 메시지를 신뢰한 것입니다.

이론적으로 해결책은 복잡하지 않습니다. 다중 검증자 설정, 분산형 RPC 노드 네트워크, 브리지 인프라에 대한 독립적인 보안 감사 등을 도입하면 보안 수준을 크게 높일 수 있습니다. 문제는 인프라 구축 비용을 절감하는 것이 종종 "신속하게 진행해야 한다"는 명분으로 합리화된다는 점입니다. 그러다 보면 무한한 인내심을 가진 국가가 이를 악용하려 들게 됩니다.

이번 해킹 사태 이후 DeFi의 회복세는 비교적 순조로워 보입니다. Aave의 안전 모듈은 제 역할을 다했고, 프로토콜들은 신속하게 대응했으며, 주요 플랫폼 중 어느 곳도 붕괴되지 않은 것으로 나타났습니다. 하지만 DeFi 업계는 48시간 만에 13억 달러 규모의 손실을 입었습니다. 1대1 검증기를 운영하는 다음 브리지는 이처럼 운이 좋을지 장담할 수 없습니다.

---------------

저자: 라이언 가드너
진실icon 밸리 뉴스 데스크