博链BroadChain获悉,4月22일 19:30, DeFi 분야에 또 한 번의 큰 타격이 가해졌습니다. 유동성 재스테이킹 프로젝트 Kelp DAO가 최근 공격을 받아 약 2.92억 달러의 손실을 입었습니다. 이번 사건은 프로젝트 자체의 금고를 비웠을 뿐만 아니라, DeFi의 조합 가능성을 통해 연쇄 반응을 일으켜 대출 프로토콜 Aave에 2억 달러 이상의 부실 채권을 발생시켰습니다.
보안 분석에 따르면, 공격자는 스마트 계약 취약점을 이용한 것이 아니라, 기반 RPC 노드를 오염시켜 크로스체인 프로토콜 LayerZero에 위조 데이터를 전달했습니다. 그러나 치명적인 약점은 프로젝트의 핵심 단계에서 1/1의 단일 서명 권한 메커니즘이 채택되어, 해커가 데이터가 오염된 후 막힘없이 진입하여 일시에 막대한 자산을 이전할 수 있었다는 점입니다. 온체인 추적은 북한 해커 조직 Lazarus Group을 지목하고 있으며, 그들의 효율적인 자금 세탁 경로는 국가급 공격자의 위협을 부각시켰습니다.
사건 발생 후, 책임 소재에 대한 논쟁이 벌어졌습니다. Kelp DAO는 LayerZero의 인프라에 취약점이 있다고 비난한 반면, 후자는 문제가 프로젝트 측의 RPC 데이터에 대한 맹목적인 신뢰에 있다고 반박했습니다. Aave는 Kelp DAO의 자산을 담보로 받아들인 탓에 연쇄 피해를 입었으며, 보호 기금을 동원하여 손실을 보상할 계획이지만, 이는 DeFi 생태계의 '한쪽이 손해 보면 모두 손해 본다'는 체계적 위험을 드러냈습니다.
이번 공격은 업계로 하여금 DeFi의 위험과 수익의 불일치에 대한 깊은 성찰을 촉발시켰습니다. 사용자는 한 자릿수의 연간 수익률이나 포인트를 쫓아다니며, 원금 전액 손실의 위험을 감수하고 있습니다. 총 예치금(TVL)을 확보하기 위해 많은 프로토콜이 저수수료 모델을 채택하고 있어, 그들의 미미한 수입은 고급 공격을 막는 데 필요한 보안 투자를 지탱하기 어려워 '수익은 사유화, 위험은 사회화'되는 취약한 구조를 형성하고 있습니다.
기관화된 자금의 가속화된 유입 추세에 직면하여, 업계는 규정 준수 보관의 가치를 재검토하기 시작했습니다. 비즈니스 로직과 자산 보관을 분리하고 전문 보관 기관이 금고 관리를 담당하면 단일 장애점을 효과적으로 차단할 수 있습니다. 독립적인 의도 기반 위험 관리 엔진은 오프체인에서 비정상적인 거래를 차단하고 재검토하여 코드가 제공할 수 없는 신탁 수준의 보호를 제공할 수 있습니다. 이는 아마도 DeFi 프로토콜이 주류 자본을 유치하고 장기적인 발전을 이루기 위한 필수 인프라가 될 것입니다.