Arbitrum 긴급 권한으로 KelpDAO 유출 자금 회수, L2 안전 거버넌스 논란

博链BroadChain获悉，4月21日 16:16，据 TechFlow，KelpDAO가 지난주 약 3억 달러 상당의 자산을 도난당해 올해 DeFi 분야 최대 보안 사건 중 하나가 되었습니다. 이 중 가치 7000만 달러를 초과하는 30765개의 ETH가 Arbitrum 체인 상의 한 주소에 남아 있었습니다. 온체인 모니터링에 따르면, 해당 주소의 자금이 최근 전부 0으로 된 주소로 이전되어 추측을 불러일으켰습니다. Arbitrum 공식 포럼은 이후 자체 보안 위원회가 비상 권한을 동원했다고 밝혔습니다. 핵심 크로스체인 브리지 계약 Inbox를 임시로 업그레이드함으로써, 위원회는 새로운 함수를 추가해 개인 키를 소유하지 않은 상태에서도 해커 주소 명의로 위조된 크로스체인 메시지를 생성하여 자금을 동결 주소로 이전하도록 지시할 수 있었습니다. 작업 완료 후 계약은 즉시 다운그레이드되었으며, 전체 과정은 하나의 이더리움 트랜잭션으로 패키징되어 다른 사용자에게 영향을 미치지 않았습니다. Arbitrum은 이 조치가 사전에 법 집행 기관과 조율되었으며, 공격자가 북한 라자루스 그룹과 연관되어 있음을 확인하고 기술 평가를 거쳤다고 밝혔습니다. 보안 위원회 12명의 구성원 중 9명의 서명이 있으면 거버넌스 투표 없이도 이러한 비상 업그레이드를 실행할 수 있습니다. 커뮤니티 반응은 분열되었습니다: 한쪽은 자산을 신속하게 회수한 성과를 긍정하는 반면, 다른 쪽은 이 조치가 탈중앙화 원칙에서 벗어난 것이라고 의문을 제기했습니다. 분석에 따르면, 현재 주류 L2는 보편적으로 유사한 보안 위원회와 비상 권한 메커니즘을 갖추고 있으며, 이는 Arbitrum만의 독특한 특징이 아닙니다. 이번 사건은 또한 DeFi 보안 대응의 새로운 양상을 반영합니다: 국가급 해커 조직의 공격 수단이 지속적으로 진화하는 반면, Layer 2 네트워크는 기반 권한을 동원하여 직접 개입하기 시작했습니다. 일부 자금을 회수했음에도 불구하고, KelpDAO의 총 도난액은 2.92억 달러에 달하며, 잔여 자산은 여러 체인에 분산되어 있고, Aave 상의 1억 달러 이상의 부실 채무 문제는 여전히 해결되지 않았습니다.