博链BroadChain에 따르면, 4월 23일 12:16, 4월 19일 새벽, Kelp DAO의 LayerZero 기반 rsETH 크로스체인 브리지가 공격을 받아 약 116,500개의 rsETH가 해당 소각 기록 없이 메인넷에서 유출되어 약 2.92억 달러의 손실이 발생했습니다. 공격 발생 1시간 이내에 Kelp는 긴급히 계약을 중단했으나, 공격자는 이후 두 차례에 걸쳐 추가 공격을 시도했습니다. 계약이 이미 중단되지 않았다면 잠재적 총 손실은 3.91억 달러에 달할 수 있었습니다.
이는 2026년 DeFi 분야에서 단일 사건으로 발생한 최고 손실 기록입니다. 공격의 핵심은 검증 메커니즘의 단일 장애점에 있었습니다. Kelp는 LayerZero가 허용하는 가장 약한 보안 설정인 1/1 DVN을 채택했는데, 이는 단일 검증자의 서명만으로 크로스체인 메시지를 통과시킬 수 있는 방식입니다. 보안 전문가들은 이는 본질적으로 감사를 통해 수정할 수 없는 구조적 결함이라고 지적했습니다.
2025년 1월에 이미 한 개발자가 Aave 거버넌스 포럼에서 Kelp가 다중 검증자 구성으로 확장해야 한다고 경고했으나, 이 제안은 15개월 동안 채택되지 않았습니다. LayerZero는 사후에 여전히 단일 검증자를 사용하는 애플리케이션에 대한 메시지 승인을 중단할 것이라고 발표했습니다. 기술적 실패는 신속하게 체계적인 전염을 초래했습니다.
공격자는 도난당한 rsETH를 Aave, Compound 등 여러 대출 플랫폼에 예치하여 2.36억 달러 이상의 실제 자산을 차용했습니다. Aave는 즉시 관련 시장을 동결하여 유동성이 갑자기 긴축되었고, 이는 1000억 달러 이상의 인출 물결에 영향을 미쳤습니다. Fluid, Upshift, Lido Earn 등 최소 9개의 프로토콜이 비상 대응을 연쇄적으로 발동했습니다.
이는 LRT(유동성 재스테이킹 토큰)가 담보로 사용될 때 다층적 조합 후 기초 준비금이 비워지면 전체 신뢰 체인이 동시에 불균형에 빠질 수 있는 위험을 드러냈습니다. 이번 공격의 귀속에는 논란이 있습니다. LayerZero는 이를 북한 해커 조직 Lazarus Group의 소행으로 귀속시키지만, 보안 회사 Cyvers는 관련 지갑 클러스터링이 아직 확인되지 않았다고 밝혔습니다.
공격자가 사용한 악성 노드 소프트웨어는 사후에 자동으로 흔적을 지워 포렌식 난이도를 증가시켰습니다. 이는 DeFi 업계가 공격 추적 및 정보 공유 측면에서 체계적인 협력이 부족함을 반영합니다. 연이어 발생하는 거액의 공격 사건은 DeFi의 기존 보안 관리 프레임워크가 심각한 도전에 직면하고 있음을 보여줍니다.
보안 진화를 위해서는 프로토콜 설계자, 인프라 계층, 대출 플랫폼 등 다방면의 공동 참여가 필요하며, 위험 가정을 재조정하고 더 체계적인 정보 공유 및 강제적 위험 관리 메커니즘을 구축해야 합니다.