서명 설정 오류 하나만으로 아무것도 없는 상태에서 2억 9200만 달러 상당의 토큰이 생성될 수 있다면, 신뢰가 필요 없는 금융이라는 개념 자체가 이름에서 암시하는 것보다 훨씬 더 불안정해 보인다.

공격이 어떻게 작동했는가

2026년 4월 18일, 공격자는 LayerZero 기반의 KelpDAO 크로스체인 브리지에서 발견된 취약점을 악용하여 약 2억 9,200만 달러 상당의 rsETH 토큰 116,500개를 탈취했습니다. 이는 전체 rsETH 유통량의 약 18%에 해당하는 규모이며, LayerZero 프로토콜 자체의 결함이 아닌 Kelp가 브리지를 구성한 방식의 오류로 인해 발생한 것입니다.

해당 시스템은 크로스체인 메시지 인증을 위해 단일 검증 지점에 의존했습니다. 공격자는 이 지점을 찾아내 악용했고, 전송되어서는 안 될 메시지가 전송되었습니다. 연구원들은 나중에 "서명 하나와 116,500 rsETH 토큰이 이더리움 상에서 갑자기 나타났다"고 설명했습니다. 이 토큰들은 Aave를 비롯한 실제 자산을 빌리는 데 담보로 사용되었고, 프로토콜이 일시 중단되기 전에 모두 소진되었습니다.

라자루스 그룹의 지문

침해 발생 후 3일 만에 블록체인 분석 회사인 체이나리시스(Chainalysis)는 이를 공개했습니다. 공격의 원인으로 지목됨 믹서 사용 패턴과 자금 분산 방식이 북한의 라자루스 그룹과 일치하는 것으로 분석되었습니다. 이러한 분석은 라자루스 그룹이 지난 몇 년간 가장 활발하게 온체인에서 자금을 훔쳐온 집단으로, 탈중앙화 금융(DeFi) 프로토콜을 표적으로 삼아온 전력과 일맥상통합니다.

이번 손실 규모는 2026년 발생한 DeFi 해킹 사건 중 가장 큰 규모로, Drift 해킹 사건보다 수백만 달러 더 큰 피해를 입혔습니다. 올해 들어 누적된 DeFi 손실액은 30건이 넘는 사건을 통해 7억 7천만 달러를 넘어섰는데, 이는 성숙 단계에 접어든 산업의 성장통이라고 보기 어려운 수치입니다.

디파이가 구원투수로 나선다

그 후 벌어진 일은 관점에 따라 놀라운 협력의 결과물이거나, DeFi의 안전망이 전적으로 비공식적이라는 사실을 다시 한번 상기시켜주는 사건으로 볼 수 있습니다.

Aave는 Lido Finance, EtherFi 및 기타 주요 프로토콜을 포함하는 "DeFi United"라는 연합을 소집하여 Aave의 대출 풀에 남은 부족분을 메우기 위해 ETH를 제공했습니다. 4월 21일, Arbitrum의 네트워크 보안 위원회는 공격자 소유의 30,766 ETH(약 7,100만 달러)를 동결하여 도난 자산의 약 25%를 회수했습니다. 스탠다드차타드는 업계의 대응을 회복력의 신호라고 평가하는 보고서를 발표했습니다. 그러나 더 넓은 암호화폐 커뮤니티는 이보다 신중하지 못한 반응을 보였습니다. 일부에서는 디파이(DeFi)가 죽었다고 선언하고 있다 노골적인.

변경해야 할 사항

토요일에 발표된 코인데스크의 사후 분석 보고서는 크로스체인 브리지가 DeFi의 가장 고질적인 취약점이라고 지적합니다. 이는 웜홀 브리지와 로닌 브리지 공격 사건 이후 업계에서 이미 인지하고 있던 문제입니다. 패턴은 일관적입니다. 브리지의 복잡성은 공격 표면을 만들고, 빠른 출시를 위한 동기가 신중한 검증을 위한 동기보다 앞서는 경향이 있습니다.

이번 사건에서 가장 불편한 점은 정교한 제로데이 공격이 아니었다는 것입니다. 단순한 설정 오류였습니다. 레이어제로의 인프라는 설계대로 작동했지만, 켈프(Kelp)의 배포 방식에 문제가 있었습니다. 이는 단순히 감사만으로 해결하기에는 훨씬 더 어려운 문제입니다. 공유 인프라를 사용하는 모든 프로토콜은 코드뿐만 아니라 크로스체인 메시지의 신뢰도와 유효성 검증을 좌우하는 모든 매개변수를 검증해야 하기 때문입니다.

KelpDAO와 Aave는 여전히 복구 작업을 진행 중입니다. 한편, Lazarus Group은 자금 세탁을 위해 약 2억 9200만 달러 상당의 자산을 보유하고 있는 것으로 추정됩니다. 암호화폐 업계에서는 어떤 일은 다른 일보다 훨씬 빠르게 진행됩니다.

---------------

저자: 라이언 가드너
진실icon 밸리 뉴스 데스크

즐거운 만우절 되세요... 당신의 2억 8천만 달러는 사라졌습니다. 정말입니다. 

4월 1일, 솔라나에 위치한 탈중앙화 금융(DeFi) 플랫폼인 드리프트 프로토콜(Drift Protocol)에서 2억 8천만 달러가 인출되는 사건이 발생했습니다. 블록체인 보안 회사 엘립틱(Elliptic)은 이 사건이 북한 정부의 지원을 받은 것으로 보인다고 밝혔습니다. 이번 공격은 단순한 장난이 아니었으며, 드리프트 사용자들에게는 더할 나위 없이 끔찍한 일이었습니다.

이번 공격이 기술적으로 주목할 만한 이유는 공격 방식 때문입니다. 북한 해커들이 흔히 사용하는 단순한 익스플로잇이나 사회공학적 기법과는 달리, 공격자들은 솔라나(Solana)의 '내구성이 뛰어난 논스(durable nonce)'라는 기능을 악용했습니다. 이 기능은 트랜잭션 시간 초과를 방지하기 위해 설계된 메커니즘입니다. 포춘 보도공격자는 이 메커니즘을 사용하여 Drift의 보안 위원회를 속여 몇 주 후에나 실행될 거래를 사전 승인하게 만들었는데, 이는 사실상 프로토콜 자체의 관리 계층 내부에 시한폭탄을 심은 것과 같습니다.

드리프트는 X에 게시한 글에서 해당 사건을 확인하며, "악의적인 공격자가 내구성이 뛰어난 난수(nonce)를 이용한 새로운 공격 방식을 통해 드리프트 프로토콜에 무단으로 접근하여 드리프트 보안 위원회의 관리 권한을 신속하게 장악했다"고 설명했습니다. 플랫폼은 즉시 모든 사용자의 입출금을 중단했습니다.

북한의 암호화폐 범죄 행진이 계속되고 있다

Elliptic의 분석은 이미 잘 알려진 패턴과 일치합니다. 블록체인 분석 업체 Chainalysis에 따르면 북한은 2025년 한 해 동안 약 2억 달러 상당의 암호화폐를 훔쳤는데, 이는 그해 전 세계에서 도난당한 디지털 자산의 약 60%에 해당합니다. 북한의 가장 대담한 행보는 2025년 초 암호화폐 거래소 Bybit을 해킹해 1.5억 달러를 탈취한 것으로 알려졌으며, 이는 현재까지 단일 암호화폐 절도 사건으로는 최대 규모입니다.

북한 해커들은 일반적으로 사회공학적 기법, 즉 가짜 신분을 만들고, 팀에 침투하여 내부자를 조종해 자격 증명을 탈취하는 방식을 사용합니다. 하지만 드리프트 공격은 이와는 다른 양상을 보입니다. 이는 플랫폼 자체의 보안 인프라를 무기화한, 치밀하고 기술적으로 정교한 공격입니다. 공격자는 문을 부수고 들어간 것이 아니라, 내부자를 설득하여 문을 잠그지 않고 열어두도록 유도한 것입니다.

드리프트는 누구인가요?

드리프트 프로토콜(Drift Protocol)은 2021년 신디 레오(Cindy Leow)와 데이비드 루(David Lu)가 설립했습니다. 솔라나(Solana) 플랫폼에서 무기한 선물 및 기타 거래 상품을 제공하며, 사이버 공격 이전 총 예치금은 400억 달러를 넘어섰습니다. 하지만 이번 공격으로 그 수치는 크게 줄어들었습니다. 드리프트 프로토콜은 아직 정상적인 운영 재개에 대한 구체적인 일정을 공개하지 않았습니다.

드리프트 해킹 사건은 다중 서명 위원회, 온체인 거버넌스, 커뮤니티가 보유한 관리 키에 의존하는 DeFi의 보안 모델이 그 뒤에 있는 사람과 프로세스만큼만 강력하다는 것을 다시 한번 상기시켜 줍니다. 내구성이 뛰어난 논스는 버그가 아니라 기능입니다. 하지만 기능은 무기화될 수 있으며, 북한의 소행으로 추정되는 해커들은 솔라나의 작동 방식을 면밀히 연구하여 바로 그러한 목적으로 악용한 것으로 보입니다.

솔라나 생태계 전체를 놓고 보면 이번 사태는 최악의 타이밍입니다. 솔라나 네트워크는 지난 2년 동안 기관 투자자들이 선호하는 DeFi 레이어로 자리매김하기 위해 노력해 왔습니다. 2억 8천만 달러 규모의 탈취 사건, 그것도 국제 제재 대상 정권에 넘어간 것으로 추정되는 자금은 어느 블록체인에서 발생했든 간에 결코 좋은 이미지가 아닙니다.

---------------

저자: 세드릭 할로웨이
뉴욕 뉴스룸