DeFi 보안 분야에서 다시 한 번 큰 타격이 있었습니다. Kelp DAO의 rsETH 브리지 계약이 대규모 공격을 받아 약 2억 9200만 달러의 손실이 발생했습니다. 이 사건은 암호화폐 시장에 광범위한 우려를 불러일으켰으며, 특히 도난당한 자산이 Aave 및 기타 주요 대출 프로토콜로 유입된 후, 부실 채권과 더 넓은 프로토콜 리스크에 대한 공포를 야기했습니다.
Kelp DAO 해킹 사건 경과
공격자는 LayerZero 기반의 rsETH 브리지 계약 취약점을 이용해 약 116,500개의 rsETH(약 2억 9200만 달러 상당)를 훔쳤습니다. 체인 기록에 따르면, 공격자는 LayerZero의 EndpointV2 계약을 통해 lzReceive 함수를 트리거하여 브리지 자산이 해커가 통제하는 지갑으로 이전되도록 했습니다.
공격 기법 분석
보안 연구원들은 원본 체인의 개인 키 유출이 사건의 근본 원인이라고 보고 있습니다. 이로 인해 합법적으로 보이는 악성 메시지가 브리지 시스템을 통과할 수 있었습니다. 해당 계약이 1/1 검증자 설정을 사용했기 때문에, 단일 검증자가 공격당하면 위험한 단일 장애점이 형성되었습니다.
Aave가 왜 논란에 휩싸였나
해커는 도난당한 rsETH를 담보로 유동성이 더 높은 WETH를 통해 대규모 대출을 받았습니다. 공격자가 장물을 Aave V3, Compound V3 및 Euler에 예치했을 때, 총 대출 금액은 2억 3600만 달러를 초과했으며, 이 중 Aave 플랫폼만 약 1억 9600만 달러의 리스크를 떠안게 되었습니다.
Aave의 위기 대응
Aave는 긴급히 V3 및 V4 버전의 rsETH 시장을 동결하고, 새로운 예치를 중단하며 관련 자산 대출을 금지했습니다. 팀은 프로토콜 자체가 직접 공격을 받지는 않았지만, 대출 자금이 야기할 수 있는 부실 채권을 방지하기 위해 Umbrella 보안 모듈을 가동할 준비를 하고 있습니다.
사건의 경고 의미
이번 공격은 단일 프로토콜의 실패가 어떻게 여러 플랫폼으로 빠르게 전파될 수 있는지를 드러냈습니다. 취약점이 Kelp DAO에서 시작되었지만, 장물이 Aave와 같은 대출 프로토콜로 유입된 현상은 유동성, 담보 안전성, 그리고 최상위 DeFi 플랫폼이 외부 리스크를 완전히 차단할 수 있는지에 대한 깊은 성찰을 불러일으켰습니다.
결론
Kelp DAO 사건은 2억 9200만 달러의 손실로 올해 가장 심각한 DeFi 공격 중 하나로 기록되었으며, Aave와 같은 주류 프로토콜에 대한 연쇄적 충격으로 더 큰 관심을 받았습니다. 이 사건은 크로스체인 브리지의 보안 취약점이 야기할 수 있는 시스템적 리스크를 부각시켰을 뿐만 아니라, 사용자들에게 상위 DeFi 플랫폼조차 외부 계약 취약점의 영향을 완전히 피할 수 없다는 점을 상기시켰습니다.
