BroadChain이 확인한 바에 따르면, 4월 24일 04:16, Kelp DAO의 LayerZero 기반 rsETH 크로스체인 브릿지가 4월 19일 새벽에 공격을 받아 116,500개의 rsETH(약 2억 9200만 달러)가 소각 기록 없이 메인넷에서 유출되었습니다. 공격자는 lzReceive 검증 로직을 우회하여 가짜 크로스체인 메시지를 생성, 직접 준비금을 해제하도록 유도했습니다. 1시간 만에 Kelp는 계약을 중단했지만, 후속 추가 공격이 성공했다면 총 손실은 3억 9100만 달러에 달했을 것입니다.
이번 공격의 근본 원인은 Kelp가 LayerZero의 가장 취약한 보안 설정인 1/1 DVN(단일 검증자 서명만으로 통과 가능)을 채택했기 때문입니다. 암호학 보안 회사 Sodot의 공동 창업자 Shalev Keren은 이를 "단일 장애점"이라고 지적하며, 감사만으로는 해결할 수 없다고 밝혔습니다. 이미 2025년 1월, 일부 팀이 Aave 거버넌스 포럼에서 다중 DVN 검증으로 확장할 것을 권고했지만, 15개월이 지나도록 실행되지 않았습니다. LayerZero는 사후에 여러 차례 업그레이드를 촉구했다고 밝히며, 단일 검증자 애플리케이션에 대한 메��지 승인을 중단한다고 발표했습니다.
공격자는 탈취한 rsETH를 Aave, Compound 등 대출 플랫폼에 예치하여 2억 3600만 달러 이상의 실제 자산을 대출받았습니다. Aave가 시장을 동결한 후 100억 달러 이상의 인출 러시가 발생했으며, Fluid, Upshift, Lido Earn 등 최소 9개 프로토콜이 비상 대응에 돌입했습니다. SparkLend는 이미 2026년 1월에 rsETH를 상장 폐지하여, 업계 내 LRT(유동성 재스테이킹 토큰) 자산에 대한 리스크 인식 차이를 드러냈습니다.
LayerZero는 이번 공격을 북한의 Lazarus Group 탓으로 돌렸지만, Cyvers는 악성 노드 소프트웨어가 자동으로 흔적을 삭제하여 증거 수집이 어려워 이 결론에 동의하지 않았습니다. 두 사건(3주 전 Drift Protocol의 2억 8500만 달러 손실)은 DeFi의 기존 보안 프레임워크가 현재의 위협에 대응할 수 없음을 보여줍니다. 업계는 프로토콜 설계, 담보 리스크 관리, 운영 보안 및 정보 공유 차원에서 시스템 업그레이드가 필요합니다.