레이어제로는 2026년 최대 규모의 탈중앙 금융 공격이 북한의 국영 지원을 받는 라자루스 그룹(일명 트레이더트레이터)의 소행이라고 밝혔습니다. 4월 18일에 발생한 이 공격으로 인해 유동성 리스테이킹 프로토콜인 켈프 다오(Kelp DAO)에서 약 2억 9,200만 달러 상당의 116,500개의 이더리움 토큰이 도난당했습니다.
하이라이트
- 레이어제로는 2억 9,200만 달러 규모의 켈프 DAO 해킹이 북한의 라자루스 그룹의 소행으로 보고 있습니다.
- 이 공격은 브리지의 단일 검증자(1-of-1) 설정을 악용했습니다.
- 공격 이후 이틀 동안 디파이 TVL은 130억 달러 이상 하락했습니다.
이 기사는 원문을 번역한 것입니다. 당사 특파원이 작성한 원문은 여기에서 확인하실 수 있습니다.
공격의 전개 방식
레이어제로에 따르면 해커들은 탈중앙화 검증자 네트워크(DVN)에서 사용하는 RPC 노드 목록을 손상시켰습니다. 해커들은 두 개의 노드를 손상시켜 위조된 크로스체인 메시지를 전송하는 동시에 합법적인 노드에 대한 디도스 공격을 시작했습니다. 이로 인해 시스템이 손상된 노드에 의존하게 되어 가짜 메시지가 검증을 통과하고 브리지에서 승인되지 않은 토큰 잠금을 해제할 수 있었습니다.
레이어제로는 켈프 DAO가 백업 없이 단일 검증자 설정(1 대 1 구성)에 의존했기 때문에 침해가 성공할 수 있었다고 강조했습니다. 이로 인해 사기성 메시지를 거부하기 위한 독립적인 검사 없이 단일 실패 지점이 발생했습니다. 이 회사는 이전에 이러한 설정의 위험성에 대해 켈프 DAO에 경고하고 DVN 구성을 다양화할 것을 권장한 바 있다고 언급했습니다.
"단일 실패 지점을 사용한다는 것은 가짜 메시지를 탐지하고 거부할 수 있는 독립적인 검증자가 없다는 것을 의미합니다."라고 LayerZero는 말했습니다. 이 회사는 이제 더 이상 취약한 1/1 DVN 설정을 사용하는 모든 애플리케이션의 메시지에 서명하지 않겠다고 발표했습니다.
디파이 전반에 걸친 파급 효과
이 익스플로잇은 광범위한 탈중앙화 금융 부문의 급격한 하락을 촉발했습니다. 디파이 프로토콜의 총 가치 잠김(TVL)은 이틀 동안 130억 달러 이상 감소하여 995억 달러에서 863억 달러로 떨어졌습니다. 공격자는 훔친 rsETH를 Aave V3로 전송하여 이를 담보로 대량의 WETH를 차용했습니다. 이로 인해 잠재적인 부실채권에 대한 우려가 제기되었고, Aave는 V3와 V4 버전 모두에서 rsETH 마켓을 동결했습니다.
이 사건은 핵심 레이어제로 인프라 자체가 직접적으로 침해되지는 않았음에도 불구하고 디파이 생태계 전반에 긴장을 고조시켰고 크로스체인 브리지의 지속적인 취약성을 강조했습니다.
크로스체인 인프라의 지속적인 위험
켈프 DAO 사건은 상호운용성 프로토콜의 불충분한 보안 조치로 인한 위험성을 극명하게 보여줬습니다.
다중 검증자 시스템은 영향을 받지 않았지만, 단독 검증자에 대한 의존은 악용 가능한 약점을 만들었습니다.
디파이가 계속 성장함에 따라 이러한 사건은 브릿지 구성에 더 엄격한 표준이 필요하고 사용자 자금을 보호하기 위해 사전 보안 권장 사항에 유의하는 것이 중요하다는 점을 강조합니다.
앞서 저희는 Aave에 미치는 영향과 디파이의 시스템적 위험에 대해 보고드린 바 있습니다.
-
가나
-
그리스
-
나미비아
-
나이지리아
-
남아프리카 공화국
-
네덜란드
-
네팔
-
노르웨이
-
뉴질랜드
-
대만, 중화민국
-
대한민국
-
덴마크
-
도미니카 공화국
-
독일
-
라오스
-
라트비아
-
레바논
-
레소토
-
루마니아
-
룩셈부르크
-
르완다
-
리비아
-
리투아니아
-
마다가스카르
-
말레이시아
-
멕시코
-
모로코
-
모리셔스
-
모잠비크
-
몬테네그로
-
몰도바
-
몰타
-
몽골
-
미국
-
미얀마
-
바레인
-
바하마
-
방글라데시
-
베네수엘라
-
베트남
-
벨기에
-
벨라루스
-
보츠와나
-
볼리비아
-
북마케도니아
-
불가리아
-
브라질
-
브루나이 다루살람
-
사우디아라비아
-
세르비아
-
소말리아
-
스리랑카
-
스웨덴
-
스위스
-
스페인
-
슬로바키아
-
슬로베니아
-
시리아
-
싱가포르
-
아랍에미리트
-
아르메니아
-
아르헨티나
-
아이티
-
아일랜드
-
아제르바이잔
-
아프가니스탄
-
알바니아
-
알제리
-
앙골라
-
에스와티니
-
에스토니아
-
에콰도르
-
에티오피아
-
엘살바도르
-
영국
-
예멘
-
오만
-
오스트리아
-
요르단
-
우간다
-
우루과이
-
우즈베키스탄
-
우크라이나
-
이라크
-
이란, 이슬람 공화국
-
이스라엘
-
이집트
-
이탈리아
-
인도
-
인도네시아
-
일본
-
자메이카
-
잠비아
-
재결합(국가 이름)
-
조지아
-
중국
-
짐바브웨
-
체코
-
칠레
-
카메룬
-
카자흐스탄
-
카타르
-
캄보디아
-
캐나다
-
케냐
-
코스타리카
-
코트디부아르
-
콜롬비아
-
콩고
-
콩고 민주공화국
-
쿠바
-
쿠웨이트
-
크로아티아
-
키르기스스탄
-
키프로스(국가 이름)
-
타지키스탄
-
탄자니아
-
태국
-
터키
-
튀니지
-
트리니다드 토바고
-
파나마
-
파라과이
-
파키스탄
-
파푸아뉴기니
-
팔레스타인
-
페루
-
포르투갈
-
폴란드
-
푸에르토리코
-
프랑스
-
핀란드
-
필리핀
-
헝가리
-
호주
-
홍콩
- Forex
- Crypto
