KelpDAO의 해킹 사건과 LayerZero 비난
KelpDAO는 2억 9천 2백만 달러 규모의 해킹 사건에 대해 LayerZero를 비난하며, Chainlink에서 재설계된 크로스 체인 시스템으로 재출시할 계획을 발표했다. Kelp DAO는 화요일 X에서 다음과 같이 밝혔다:
“4월 18일 사건으로 인해 LayerZero의 자체 인프라가 악용되어 DeFi 전반에 걸쳐 3억 달러의 손실이 발생한 것이 명백하다.”
그들은 또한 SEAL 911, Chainalysis 및 기타 주요 보안 연구자들의 독립적인 보고서가 동일한 출처를 지적하고 있다고 강조했다. 4월에 발생한 공격으로 Kelp가 사용하는 크로스 체인 브리지에서 약 116,500 rsETH—이더리움 기반의 스테이킹 토큰—가 유출되었다. 이 해킹은 북한의 라자루스 그룹과 연관되어 있다.
LayerZero의 보안 문제와 Kelp의 주장
Kelp는 X에서 별도의 게시물에서 LayerZero 직원이 해킹과 관련된 구성 승인을 했으며, 보안 위험에 대한 경고를 하지 않았다고 밝혔다. 이 설정은 1-of-1 검증기라고 알려져 있으며, 단일 주체가 크로스 체인 거래를 검증하는 데 의존한다. Kelp는 공격이 LayerZero의 인프라 침해에서 비롯되었으며, 공격자들이 검증기 네트워크의 RPC 노드를 손상시켜 시스템이 변조된 데이터에 의존하도록 강요했다고 말했다. 이로 인해 가짜 거래가 승인될 수 있었다.
“해킹 이후 LayerZero는 더 이상 1-1 DVN 구성을 사용하는 애플리케이션에 대해 메시지를 서명하거나 인증하지 않겠다고 발표했다.”
Kelp는 이 정책 변화가 수억 달러가 해킹된 후에 이루어졌으며, LayerZero Labs는 실패한 후에만 이를 변경했다고 주장했다. 반면, LayerZero는 이 주장을 반박하며 해킹은 Kelp의 rsETH 애플리케이션에 국한되었고, 회사의 권장 다중 검증기 모델에 반하는 단일 검증기 설정의 사용에서 비롯되었다고 말했다.
Chainlink로의 마이그레이션과 향후 계획
Kelp는 rsETH 시스템을 Chainlink의 크로스 체인 상호 운용성 프로토콜로 이동하고 있으며, 여기서는 거래가 단일 검증기가 아닌 여러 독립 검증자에 의해 승인되어야 한다고 밝혔다. Chainlink의 최고 비즈니스 책임자 Johann Eid는 Decrypt에 다음과 같이 말했다:
“우리는 KelpDAO 팀과 협력하여 rsETH의 크로스 체인 보안을 개선하고 Chainlink CCIP로의 마이그레이션을 지원할 것을 약속합니다.”
그는 또한 DeFi가 수조 달러를 온체인으로 가져오기 위해서는 생태계가 매우 안전한 인프라에 의해 뒷받침되어야 한다고 믿고 있다고 덧붙였다.
법적 분쟁과 생태계의 질문들
Kelp의 해킹 사건의 영향은 기술적 분쟁을 넘어 확장되었다. 해킹과 관련된 약 7천 1백만 달러의 암호화폐가 Arbitrum 네트워크에서 동결되어 뉴욕 연방 법원에서 법적 분쟁을 촉발했다. Kelp DAO는 다음과 같이 썼다:
“생태계가 답변을 받아야 할 질문들이 있다. 우리는 rsETH가 이러한 질문을 열어두지 않는 인프라에 의해 보호되도록 보장하고 있다.”
LayerZero는 Decrypt의 논평 요청에 즉시 응답하지 않았다.
