홈으로 돌아가기

켈프DAO 공격: 단일 노드를 통해 2억 9300만 달러가 어떻게 도난당했는가

해커들이 프로젝트가 단일 LayerZero 검증자 노드만 사용했다는 사실을 악용해 켈프DAO에서 2억 9300만 달러를 탈취했습니다. 이번 공격에는 서버 침해, DDoS, 데이터 위조가 포함되었습니다. LayerZero 프로토콜 자체는 해킹되지 않았으며, 문제는 사용자 구성에서 비롯된 것입니다.

해커들이 켈프DAO를 어떻게 속이고 2억 9300만 달러를 탈취했는가

Predict

기사 기반 시그널

신호8/10
방향down
5-12%
기간1-3d
신뢰도medium

요인

The $293M exploit on KelpDAO’s rsETH bridge caused immediate depegging risk and forced liquidations across Aave. The mechanism is loss of confidence in restaked assets’ redeemability, triggering sell pressure and collateral unwinding. Key risk: if KelpDAO compensates users or proves solvency, price could rebound quickly.

해당 날짜의 모든 예측 보기

분석 신호일 뿐이며 투자 조언이 아닙니다.

Advertisement 728x90

해커들이 KelpDAO에서 2억 9,300만 달러를 탈취한 방법: 단 하나의 약한 노드를 악용한 공격

해커들은 KelpDAO가 전반적인 보안을 단 하나의 기술적 노드에 전적으로 의존했다는 점을 악용해 거의 3억 달러를 탈취했습니다. 이는 LayerZero 프로토콜 자체의 취약점이 아니라, 사용자 중 한 명의 설정 오류 때문이었습니다. 그럼에도 불구하고 이 사태는 탈중앙화 금융(DeFi) 생태계 전반에 파장을 일으켰습니다: 투자자들이 자금 인출을 서둘렀고, 시장은 다시 한번 크로스체인 브리지의 신뢰성에 대해 의문을 제기했습니다.

하나의 노드란 은행의 단 하나의 문과 같다

자신의 자금을 보관할 금고를 만든다고 상상해 보세요. 서로 다른 제조사에서 만든 세 개의 자물쇠를 설치하는 대신, 단 하나의 자물쇠만 설치하고 그 열쇠를 이웃에게 맡깁니다. 만약 이웃이 해킹당하거나 실수를 저지르면, 당신의 금고는 열리게 됩니다. 바로 KelpDAO의 보안 시스템이 작동하던 방식이었습니다.

LayerZero 프로토콜은 이더리움과 솔라나처럼 서로 다른 블록체인 간에 ‘대화’할 수 있도록 해줍니다 — 예를 들어, 이더리움에서 솔라나로 토큰을 이전하는 것처럼요. 이를 위해 이 프로토콜은 소위 ‘검증자 노드(verifier nodes)’에 의존합니다. 이상적으로는 별도의 서버에 분산된 여러 독립적인 검증자가 존재해야 합니다. 하나가 거짓말을 하더라도, 나머지 검증자들이 이를 무효화시켜야 합니다.

Google AdInline article slot

하지만 KelpDAO는 단 하나의 검증자만 사용했습니다 — 바로 LayerZero가 직접 제공한 검증자였죠. 이는 ‘모든 계란을 한 바구니에 담지 말라’는 기본 보안 원칙을 위반한 것이었습니다. 해커들은 이 기회를 놓치지 않았습니다.

공격이 전개된 방식: 거짓 정보, DDoS, 그리고 사라진 흔적

수사 결과, 공격자들은 마치 전문 스파이처럼 행동했음이 드러났습니다:

  • 첫 번째로, 공격자들은 LayerZero가 통신에 사용하는 서버 목록(RPC 노드)에 접근했습니다.
  • 그 다음, 서로 다른 클라우드 서비스 제공업체에 호스팅된 두 개의 독립 서버를 해킹해 악성 소프트웨어를 배포했습니다.
  • 이어서, 해당 서버들은 실제 이체가 발생하지 않았음에도 불구하고 “토큰 이체가 완료됐습니다”라는 위조 메시지를 시스템에 전송하기 시작했습니다.
  • 시스템이 요청을 이들 서버로만 라우팅하도록 보장하기 위해, 해커들은 다른 모든 노드를 대상으로 DDoS 공격을 감행했습니다 — 가짜 요청으로 노드들을 과부하 상태로 몰아넣었죠.
  • 시스템은 자동으로 장애 조치(failover) 되어, ‘조용하고 반응이 빠른’ 해킹된 서버로 전환되었고, 그들의 거짓 정보를 진실로 받아들였습니다.
  • 마지막으로, 공격자들은 로그, 설정 파일, 악성 코드 자체까지 모두 삭제했습니다. 어떤 흔적도 남지 않았습니다.

결과적으로 해커들은 rsETH 토큰(리스테이킹된 ETH) 116,500개를 확보했습니다. 이는 리스테이킹 시스템에서 사용되는 일종의 ‘강화된’ ETH입니다. 이 토큰을 담보로 Aave V3에 입금한 후, wETH를 차입했습니다. Aave는 기반이 된 자산이 이미 도난당했음에도 불구하고 이 담보를 정당한 것으로 인정했습니다. 이로 인해 담보 없이 발행된 부채가 생성되었고, 사용자들 사이에 공황이 확산됐습니다.

Google AdInline article slot

북한 소행일까? 가능성은 있지만, 아직 증거는 없다

LayerZero 팀은 이번 공격이 북측 해커 조직인 ‘라자루스 그룹(Lazarus Group)’에 의해 가능성이 높게 수행됐다고 밝혔습니다. 이 조직 산하의 ‘트레이더트레잇러(TraderTraitor)’는 암호화폐 탈취에 특화된 부대입니다. 그러나 분석가들은 강조합니다: 현재로서는 라자루스와 이번 사건을 직접 연결 지을 수 있는 증거가 전혀 없습니다. 귀속 판단은 오직 공격 패턴과 난독화 기법에 근거한 것입니다.

중요한 점은: 비록 라자루스가 관여했을 가능성이 있다 하더라도, 취약점의 근원은 LayerZero의 코드가 아니라 KelpDAO의 설정에 있었습니다. 프로토콜 자체는 해킹되지 않았으며, 단지 잘못 사용된 것뿐입니다.

핵심 요약

  • KelpDAO는 단 하나의 검증자 노드에만 의존했으며, 이는 DeFi 보안의 기본 원칙을 위반한 것입니다.
  • 해커는 다단계 공격을 실행했습니다: 서버 해킹 + DDoS + 데이터 위조 + 흔적 제거.
  • 116,500개의 rsETH가 탈취됐으며, 시장 가격 기준 약 2억 9,300만 달러에 해당합니다.
  • 이 공격은 다른 LayerZero 프로젝트에는 영향을 미치지 않았습니다 — 문제는 지역적이었지만, 전체 시스템에 대한 불안을 촉발시켰습니다.
  • LayerZero는 이미 복구됐지만, 크로스체인 브리지에 대한 신뢰는 일시적으로 흔들렸습니다.

일반 사용자에게 이 사건이 의미하는 바

탈중앙화 금융(DeFi) 프로토콜에 자금을 보유하고 있다면 — 특히 새롭거나 덜 알려진 프로토콜이라면 — 꼭 확인해 보세요: 그들의 보안 모델은 얼마나 탈중앙화되어 있는가? 여러 독립적인 검증 출처를 사용하고 있는가? 대부분의 주요 플랫폼은 이제 이를 올바르게 구현하고 있지만, 모든 플랫폼이 그렇지는 않습니다.

Google AdInline article slot

또한, 이런 공격은 우리에게 다음과 같은 사실을 상기시켜 줍니다: 기반이 되는 기술이 아무리 완벽하게 작동하더라도, 설정 오류, 매개변수 선택 실수, 운영 판단 착오와 같은 인간의 실수는 여전히 모든 것을 무너뜨릴 수 있습니다. 암호화폐 시장은 성숙해지고 있지만, 팀이 근본적인 안정성을 철저히 검증하지 않고 새로운 기능을 서둘러 출시할 때 특히 위험이 남아 있습니다.

— Editorial Team

Advertisement 728x90

다음 읽기

파트너 뉴스