LayerZero와 Kelp DAO 해킹 사건
LayerZero는 북한의 해킹 그룹인 Lazarus Group이 약 2억 9천 2백만 달러에 해당하는 116,500 rsETH를 탈취한 Kelp DAO 해킹 사건의 주요 행위자일 가능성이 높다고 밝혔다. 회사는 초기 지표가 “고도로 정교한 국가 행위자“를 가리키며, 최근 성명에서 “DPRK의 Lazarus Group, 더 구체적으로 TraderTraitor“를 언급했다.
해킹 사건의 경과
이 공격은 4월 18일에 발생했으며, 올해 보고된 가장 큰 DeFi 해킹 사건으로 빠르게 자리 잡았다. LayerZero는 공격자가 크로스 체인 메시지를 검증하는 시스템을 목표로 삼았으며, 이로 인해 잘못된 메시지가 통과하여 브리지에서 토큰이 잠금 해제되었다고 밝혔다.
LayerZero는 공격자가 LayerZero Labs의 분산 검증 네트워크(DVN)에서 사용되는 RPC 노드 목록에 접근했다고 전했다.
회사는 공격자가 그 중 두 개의 노드를 오염시켜 검증 네트워크에 잘못된 크로스 체인 메시지를 전달하도록 했다고 설명했다. 동시에 공격자는 깨끗한 노드에 DDoS 공격을 감행하여 DVN이 오염된 노드에 의존하도록 만들었다. 이러한 조합이 위조된 메시지가 시스템을 통과하고 손실로 이어지는 토큰 잠금 해제를 촉발할 수 있게 했다고 LayerZero는 덧붙였다.
단일 실패 지점과 그 영향
LayerZero는 Kelp DAO가 백업 검증기가 없는 단일 1-of-1 DVN 설정을 사용했기 때문에 피해가 가능했다고 밝혔다. 이로 인해 단일 실패 지점이 발생하여 브리지가 자금을 해제하기 전에 잘못된 메시지를 거부할 독립적인 검증이 없었다고 설명했다.
“단일 실패 지점 구성을 운영하는 것은 위조된 메시지를 잡아내고 거부할 독립적인 검증자가 없음을 의미했다.”
LayerZero는 성명에서 “LayerZero와 다른 외부 당사자들은 이전에 KelpDAO에 DVN 다각화에 대한 모범 사례를 전달했다”고 덧붙였다. 회사는 이제 1/1 DVN 설정을 사용하는 애플리케이션에 대한 메시지를 더 이상 서명하지 않을 것이라고 밝혔다.
DeFi 생태계에 미친 영향
이 해킹 사건은 공격자가 탈취한 rsETH를 Aave V3로 이동시키고 이를 담보로 대량의 WETH를 빌리면서 DeFi 전반에 스트레스를 퍼뜨렸다. 이는 Aave에서 발생할 수 있는 부실 채권에 대한 우려를 불러일으켰고, 프로토콜은 V3와 V4에서 rsETH 시장을 동결했다.
Aave 창립자 Stani Kulechov는 “RsETH는 Aave V3와 V4에서 동결되었다”고 말하며, Kelp DAO 브리지 해킹으로 인해 이 자산은 더 이상 대출 능력이 없다고 덧붙였다.
Aavescan의 역사적 데이터에 따르면, 공격 이후 Aave에서 100억 달러 이상이 빠져나갔으며, 총 공급 자금은 458억 달러에서 357억 달러로 감소했다. 여파는 Aave를 넘어 확산되었다. Ethena, ether.fi, Tron DAO, Curve Finance를 포함한 여러 DeFi 프로토콜은 예방 차원에서 LayerZero OFT 브리지를 일시 중단했다.
DefiLlama 데이터에 따르면, DeFi 총 잠금 가치는 24시간 내에 7% 감소하여 약 863억 달러로 떨어졌으며, 4월 18일에는 995억 달러였다. LayerZero는 다중 DVN 설정을 사용하는 다른 자산이나 애플리케이션에는 “제로 전염”이 있다고 밝혔으며, 자금을 추적하기 위한 법 집행 노력이 계속되고 있다고 전했다.
