레이어제로, 2억9000만달러 Kelp 해킹 원인으로 '설계 결함' 지목
LayerZero가 Kelp DAO의 분산 검증자 네트워크(DVN) 설정 미흡이 2억9000만달러 규모의 해킹으로 이어졌다고 밝혔다. 초기 정황상 북한 연계 해커의 소행 가능성도 제기됐다.
LayerZero는 20일 Kelp DAO의 rsETH 브리지에서 발생한 유출이 단일 검증 경로만 둔 ‘1/1 DVN’ 구성에서 비롯됐다고 설명했다. 회사는 그동안 분산 검증 구성을 권고했지만, Kelp DAO가 이를 따르지 않았다고 했다. 이 공격으로 약 11만6500개 리스테이킹 이더리움(rsETH)이 빠져나갔고, 당시 가치로 2억9200만~2억9300만달러에 해당했다.
문제는 곧장 책임 공방으로 번졌다. 탈취된 rsETH가 에이브(AAVE)에서 담보로 활용되면서 유동성이 흔들렸고, 에이브의 총예치자산(TVL)은 약 89억달러 줄어 175억달러 수준으로 내려앉았다. 이 과정에서 약 1억9500만달러의 ‘부실채권’ 우려도 커졌다.
LayerZero는 이번 사태가 자사 프로토콜 자체의 침해가 아니라 Kelp DAO의 애플리케이션 구성 문제라고 선을 그었다. 그러면서 1/1 DVN을 쓰는 모든 서비스에 다중 DVN 전환을 요구하고, 단일 검증자 구조를 유지할 경우 메시지 서명과 검증을 중단하겠다고 밝혔다.
시장에서는 보상 주체를 두고 논쟁이 이어지고 있다. 원키 창업자이자 CEO인 이시 왕은 해커와 협상해 10~15%의 ‘바운티’를 제안하고 자금을 회수하는 방안을 먼저 검토해야 한다고 말했다. 협상이 실패하면 LayerZero 생태계 펀드가 대부분을 부담해야 한다는 주장도 내놨다.
반면 뒤틀린 유동성과 연쇄 청산 위험은 여전히 남아 있다. Spark의 전략 책임자인 머니서플라이는 Aave의 ETH 유동성이 낮아진 상황에서 현물 가격이 15~20%만 하락해도 추가 부실이 쌓일 수 있다고 경고했다. Aave는 rsETH를 즉시 동결했지만, 이번 사건은 크로스체인 브리지와 대출 프로토콜이 얼마나 촘촘히 연결돼 있는지 다시 보여줬다.
기사요약 by TokenPost.ai 🔎 시장 해석 LayerZero는 이번 해킹 원인을 프로토콜 취약점이 아닌 Kelp DAO의 ‘단일 검증(1/1 DVN)’ 설정 문제로 규정하며 책임 경계를 분명히 했다. 그러나 Aave까지 유동성 충격이 번지며 DeFi 생태계 전반의 구조적 리스크가 부각됐다. 💡 전략 포인트 단일 검증 구조는 치명적인 단일 실패 지점(SPoF)을 만든다. 크로스체인 브리지 사용 시 다중 검증(DVN) 구조 여부 확인이 필수. DeFi 프로토콜 간 연결성이 높아 한 프로젝트 리스크가 시장 전체로 확산될 수 있음. 유동성 위기 상황에서는 담보 자산 가격 하락이 연쇄 청산을 촉발할 수 있음. 📘 용어정리 DVN(분산 검증 네트워크): 크로스체인 메시지의 진위 여부를 검증하는 시스템. rsETH: 이더리움을 재예치(restaking)하여 생성된 파생 토큰. TVL: 프로토콜에 예치된 총 자산 규모. 부실채권(Bad Debt): 담보 가치 하락으로 회수 불가능해진 대출 자산.
💡 자주 묻는 질문 (FAQ)
Q. 이번 해킹의 핵심 원인은 무엇인가요?
Kelp DAO가 LayerZero를 사용할 때 단 하나의 검증자만 사용하는 ‘1/1 DVN’ 구조를 선택한 것이 핵심 원인입니다. 이로 인해 단일 실패 지점이 생겼고, 해커가 이를 집중적으로 공격해 자산을 탈취할 수 있었습니다.Q. 왜 Aave까지 영향을 받았나요?
탈취된 rsETH가 Aave에서 담보로 활용되면서 대출과 유동성 구조에 충격이 발생했습니다. 이로 인해 TVL이 급감하고 부실채권 우려가 커지면서, 단일 해킹이 DeFi 전체로 확산되는 ‘연쇄 리스크’가 현실화됐습니다.Q. 투자자 입장에서 이번 사건의 교훈은 무엇인가요?
크로스체인 브리지나 DeFi 서비스 이용 시 단순 수익률보다 보안 구조를 우선 확인해야 합니다. 특히 다중 검증 체계 여부, 담보 자산의 유동성, 그리고 프로토콜 간 연결 리스크를 함께 고려하는 것이 중요합니다.TP AI 유의사항 TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>
많이 본 기사
