크로스체인 브릿지 보안 취약점 노출… Kelp DAO 해킹으로 2930억원 손실

크로스체인 브릿지가 다시 한 번 부정적인 이유로 주목받고 있다. 토요일(한국시간) Kelp DAO에서 발생한 29,300만 달러(약 2,930억원) 규모의 해킹은 브릿지 보안 문제를 DeFi 산업의 최전선으로 끌어올렸다.

TRM Labs의 글로벌 정책 및 정부 affaires 책임자인 Ari Redbord는 “3억 달러 규모 발행자의 보안 모델이 단일 검증자 키로 축소될 때 공격 표면은 기술적 문제가 아닌 구조적 문제가 된다”고 밝혔다.

이 분석은 공격자가 LayerZero의 크로스체인 메시징 시스템을 악용해 116,500개의 rsETH(순환 공급량의 약 18%)를 탈취한 사건에 따른 것이다. 공격자는 Kelp의 브릿지에 다른 블록체인에서 자금이 도착했다고 거짓 메시지를 보내 브릿지를 속였고, 브릿트는 이를 믿고 토큰을 발행했다.

Kelp DAO는 이더리움 기반 liquid restaking 프로토콜로, 사용자가 표준 스테이킹 보상과 추가적인 EigenLayer를 통한 restaking 수익을 얻을 수 있도록 한다. 사용자가 자격을 갖춘 토큰을 예치하면 rsETH를 발급받아 DeFi 플랫폼에서 거래할 수 있으며,在此期间 원금은 여러 네트워크를 보호하는 역할을 한다. 이는 투자자들이 자본을 유동성 있게 유지하면서도 다층 수익을 창출할 수 있도록 한다.

이번 공격은 4월 1일 Drift에서 발생한 2억 8,600만 달러 손실을 포함해 이달 DeFi 손실액을 5억 5,000만 달러 이상으로 늘렸다.

크로스체인 브릿지는 어떻게 작동하는가?

크로스체인 브릿지는 이더리움과 Arbitrum 등 서로 다른 블록체인을 연결하는 소프트웨어다. 사용자가 토큰을 다른 체인으로 이동할 때, 브릿트는 원본 토큰을 잠그고 새로운 체인에 대응하는 토큰을 발행한다. 이 과정은 검증자(validator)라고 불리는 신뢰할 수 있는 컴퓨터들이 블록체인 트랜잭션의 진위를 확인하는 데 의존한다.

Kelp DAO의 브릿트는 다른 블록체인에서 온 가짜 메시지를 실제 메시지로 오인하고 토큰을 발행했다. 시스템은 단일 검증자만 메시지를 승인하도록 설정되어 있었으며, 이 검증자가 공격자에게 노출되거나 속아 넘어가면서 수백만 달러 규모의 손실이 발생했다.

Kelp DAO는 1/1 Decentralised Verifier Network(DVN) 설정을 사용했는데, 이는 단일 검증자가 크로스체인 메시지 승인 권한을 가졌다는 의미다. 이 검증자가 손상되거나 속아 넘어가면서 시스템 전체가 가짜 신호를 신뢰하게 된 것이다.

Redbord에 따르면, Kelp DAO 해킹의 영향은 Kelp DAO 자체를 넘어섰다. Aave, SparkLend, Fluid, Upshift 등은 rsETH와 연계된 시장을 일시 중단했으며, Aave alone은 54억 달러 이상의 이더리움 인출이 발생했다고 밝혔다.

Kelp DAO는 비상 멀티시그 월렛을 통해 46분 이내에 계약을 동결하는 조치를 취했고, 추가 1억 달러 규모 탈취 시도는 막혔다.

Redbord는 “방어 강화가 답이다: 메시징 레이어의 다양한 검증자 집합, 실시간 모니터링, 신속한 중지 기능, 그리고 전염 가능성을 고려한 크로스 프로토콜 플레이북”이라고 강조했다.

“4월은 DeFi 빌더들에게 힘든 한 달이었다.”

Lance Datskoluo는 DL News의 유럽 지역 시장 통신원으로, 연락처: [email protected]