DeFi 보안 기준의 필요성
Curve의 창립자 Michael Egorov는 Kelp의 rsETH 해킹 사건이 “중앙 집중화된” 병목 현상이 이론적으로 분산된 시스템을 어떻게 파괴할 수 있는지를 드러냈다고 주장하며, 체인 전반에 걸친 DeFi 보안 기준의 필요성을 강조하고 있다. Egorov는 중앙 집중화된 단일 실패 지점으로 인해 발생하는 “피할 수 있는” 해킹 사건의 물결이 전체 산업에 해를 끼치고 있다고 설명했다. 그는 팀들이 손실을 “치유”하려고 하기보다는 이러한 병목 현상을 설계에서 제거해야 한다고 강조했다.
“DeFi는 세계 금융 시스템의 미래입니다. 이것이 제가 믿는 것이며, 우리가 여기에 있는 이유입니다. 최근 DeFi에서 발생하는 절대적으로 예방 가능한 해킹 사건의 수는 엄청납니다.”
그의 발언은 KelpDAO의 rsETH 해킹 사건 이후 나온 것으로, 공격자는 약 116,500 rsETH(당시 약 2억 9천 2백만 달러 가치)를 빼앗기 위해 크로스 체인 메시지를 위조하고, 도난당한 토큰을 담보로 Aave에 밀어넣어 DeFi의 조합성을 통해 피해를 확대했다. KelpDAO의 메시징 레이어를 제공한 LayerZero에 따르면, 이 침해는 Kelp가 백업 없이 단일 1-of-1 DVN 검증기를 운영했기 때문에 가능했으며, 이는 Egorov이 현대 DeFi 인프라에서 존재해서는 안 되는 단일 실패 지점의 전형적인 사례라고 말했다.
위조된 메시지가 통과한 후, 공격자는 Aave V3에서 rsETH를 사용하여 대량의 래핑된 이더를 빌려, 사용자가 급히 인출하려 하면서 Aave에서 100억 달러 이상의 유출을 촉발했다. 이 프로토콜은 위험을 통제하기 위해 V3와 V4에서 rsETH 시장을 동결했다. 산업 추적자들은 Kelp 관련 손실이 약 2억 9천 3백만 달러에 달한다고 추정하며, 9개의 연결된 프로토콜이 rsETH 활동을 중단하거나 제한했고, Arbitrum의 보안 위원회는 이후 공격자와 관련된 약 30,766 ETH를 압수했다.
중앙 집중화된 의존성의 위험
Egorov는 이번 사건이 “브리지, 오라클, 거버넌스 멀티시그 및 관리자 키”가 어떻게 숨겨진 중앙 집중화된 의존성이 될 수 있는지를 보여준다고 말했다. 그는 또한 CrossCurve와 같은 프로토콜에 대한 크로스 체인 공격을 포함한 이전의 브리지 및 유동성 해킹 사건을 지적하며, 이러한 설계 선택이 무언가가 고장날 때 폭발 반경에 직접적인 영향을 미친다고 강조했다.
Egorov는 프로젝트, 감사자 및 위험 팀이 크로스 체인 검증기 및 비율 제한에서 멀티시그 정책 및 킬 스위치에 이르기까지 구체적인 모범 사례를 공유하고, “공동으로 DeFi 보안 기준을 수립”할 것을 원하고 있다. 그는 Ethereum Foundation과 Solana Foundation이 이 작업을 주관해야 한다고 제안하며, 재단 지원 지침이 비록 공식 규제는 아니지만 공통 규칙집 역할을 할 수 있고, 팀들이 명백한 중앙 집중화된 병목 현상을 가진 아키텍처를 배포하기 어렵게 만들 것이라고 주장했다.
한 논평자는 산업 보고서에서 rsETH 해킹과 이후 Aave 스트레스와 같은 반복적인 실패가 “단일 실패 지점을 제거하는 대신, 산업이 계속해서 그것들을 재건하고 있다”는 인식을 굳히고 있다고 요약했다. 이는 불투명하고 취약한 전통 금융(TradFi) 레일에 대한 대안으로서 DeFi의 핵심 가치 제안을 약화시킨다.
