레이어제로 “켈프DAO 해킹, 라자루스 소행 가능성”…단일 검증 구조 취약점 드러났다

크로스체인 프로토콜 레이어제로가 켈프DAO 해킹의 배후로 북한 ‘라자루스’를 지목했다. 기술적 원인으로는 검증자 설정의 ‘단일 실패 지점’이 꼽혔다.

18일 발생한 이번 공격으로 켈프DAO의 rsETH 풀에서 약 2억9200만달러(약 4296억원)가 유출됐다. 디파이라마에 따르면 사건 직후 24시간 동안 디파이 전체 예치금(TVL)은 7% 줄어 850억달러 규모로 하락했다. 레이어제로는 라자루스 연루를 ‘가능성 높은 추정’으로 제시했으며, 확정 결론은 아니라고 선을 그었다.

검증 노드 하나에 의존…크로스체인 구조의 취약점 드러나

공격은 정교한 다단계 방식으로 진행됐다. 공격자는 레이어제로의 분산 검증 네트워크에 데이터를 제공하는 RPC 인프라를 오염시킨 뒤, 디도스 공격으로 시스템이 손상된 백업 노드로 전환되도록 유도했다.

그 결과 검증 네트워크는 허위 크로스체인 거래를 정상으로 승인했고, 자금은 탐지 이전에 빠져나갔다. 핵심 문제는 켈프DAO가 ‘1-of-1 DVN’ 구조, 즉 단일 검증 노드에 의존했다는 점이다. 레이어제로는 조사에서 이 구성이 부적절하다고 여러 차례 경고했고, 다중 검증 네트워크(DVN) 도입을 권고했지만 반영되지 않았다.

다중 DVN 구조였다면 여러 노드를 동시에 장악해야 해 공격 난이도가 크게 높아진다. 리플 CTO 데이비드 슈워츠는 “레이어제로 인프라를 노린 예상보다 정교한 공격이며, 켈프DAO의 운영 미흡을 악용했다”고 평가했다.

사고 이후 레이어제로는 문제된 RPC 노드를 전면 폐기하고 DVN 기능을 복구했다. 다른 프로토콜로의 확산은 확인되지 않았고, 프로토콜 코드나 개인키 유출도 없었다. 이번 사태는 ‘기반 기술’이 아닌 ‘구조 설계’의 실패라는 점에서 신뢰도에는 일정 부분 방어선이 유지됐다는 평가다. 다만 유출된 자금 회수 가능성은 여전히 불투명하다.

라자루스 연루 가능성…디파이 전반 위협 모델 재편

레이어제로는 포렌식 분석에서 라자루스 산하 조직 ‘트레이더트레이터’ 흔적을 일부 포착했다며, 글로벌 수사기관과 자금 추적을 진행 중이라고 밝혔다. 이는 국가 차원의 추적이 필요할 정도로 증거 신뢰도가 있다는 의미로 해석된다.

라자루스는 2022년 로닌 네트워크 6억2500만달러 해킹 등 주요 사건에 연루돼 왔으며, 미 재무부와 유엔은 이들이 탈취 자금을 북한의 무기 개발에 활용해왔다고 보고 있다. 최근에는 웹3 기업 내부에 위장 취업하는 방식까지 동원하며 공격 범위를 넓히는 추세다.

크로스체인 프로토콜은 구조적으로 매력적인 표적이다. 여러 체인의 유동성이 모이는 ‘접점’에 위치하고, 검증 네트워크 설정이 취약할 경우 단일 실패 지점이 발생할 수 있기 때문이다. 이번에 활용된 ‘RPC 오염’ 기법은 검증 네트워크를 직접 겨냥한 새로운 공격 방식으로, 보안 업계에서는 재현 가능성이 높은 위협으로 평가하고 있다.

이번 사건은 디파이와 크로스체인 보안에서 ‘구조 설계’의 중요성을 다시 부각시켰다. 단일 검증 의존을 벗어난 다중 안전장치 도입 여부가 향후 시장 신뢰 회복의 핵심 변수로 떠오르고 있다.