미국과 이란이 휴전중인 지난 주말, 디지털 자산 시장에서는 무려 4000억원에 달하는 코인이 순식간에 사라졌습니다. 피해자는 이더리움 기반 금융 서비스를 제공하는 Kelp DAO입니다. 공격자가 코인을 탈취한 뒤 켈프 팀이 시스템을 동결할 때까지 걸린 시간은 불과 46분이었지만 공격자는 이미 탈중앙화 금융을 이용해 코인을 실제 자산으로 바꿨습니다. 이 여파로 에이브(AAVE)와 같은 다른 탈중앙화 금융 서비스도 중대한 타격을 입었습니다.
이번 해킹은 탈중앙화 금융과 체인간 자산을 옮기는 브릿지에 대한 경각심을 다시 한번 상기시킵니다. 특히 스마트 컨트랙트로 연쇄적으로 연결된 탈중앙화 금융 구조에서 한 지점에 문제가 생기면 다른 곳까지 연쇄적으로 피해를 입는 현 상황이 해킹에 얼마나 취약한지 명백하게 드러냈습니다. 이번 사태가 야기할 변화와 전망을 짚어보겠습니다.
이번 사태를 쉽게 이해하기 위해 예를 들어보겠습니다. Kelp DAO는 은행의 예금에 비유할 수 있습니다. 사용자가 현금에 해당하는 이더리움(ETH)을 은행 역할을 하는 Kelp DAO에 맡기면 Kelp는 통장과 같은 영수증 토큰(rsETH)을 발행해주고 이자와 유사한 수익을 제공해줍니다. 이 영수증 토큰은 통장처럼 “당신이 우리한테 ETH를 맡겼다”는 증서 역할을 합니다. 그런데 이후 과정에서 탈중앙화 금융과 은행의 차이가 발생합니다. 바로 이 영수증 토큰을 다른 금융 서비스에서 담보로 쓸 수 있는 것이죠. 은행에서도 대출을 제공하지만 통장을 담보로 하진 않습니다.
그 앞단에 존재하는 레이어제로는 서로 다른 블록체인 네트워크를 연결(브릿지)하는 금융 전신망 같은 인프라입니다. A 은행과 B 은행이 서로 다른 전산 시스템을 쓰더라도 중간에 공통 결제망이 있으면 돈을 주고받을 수 있는 것처럼 레이어제로는 서로 다른 네트워크들이 rsETH를 주고받을 수 있도록 연결해줍니다. 이렇게 연결돼 있으면 은행에서는 불가능한, A 은행의 통장으로 B 은행에서 대출을 받는 것이 가능해집니다. 하지만 철두철미한 확인이 필수적입니다.
해킹은 바로 이 지점에서 발생했습니다. 해커들이 레이어제로에서 확인 역할을 하는 검증자(DVN)를 공격 대상으로 삼은 것입니다. 가장 먼저 블록체인 네트워크에서 트랜잭션 확인에 사용되는 노드들에 무차별 공격을 감행해 무력화한 뒤 미리 악성 소프트웨어를 설치해놓은 두개의 노드만 가동되도록 했습니다. 이 노드들은 검증자에게만 허위 정보를 보내도록 설계돼 있었죠. 마치 은행 창구 직원들을 위장한 도둑들로 바꿔치우고 손님들에게는 제대로 된 응대를 제공하지만 은행 내부에는 거짓 정보를 하는 것처럼요.
특히 Kelp DAO는 검증자를 한 곳만 썼기 때문에 속이는 게 더 쉬웠습니다. 해커들은 이미 포섭된 노드들을 통해 검증자에게 위조된 패킷을 검증·확정·전달시켜 결과적으로 11만6500개의 영수증 토큰(rsETH)를 빼냅니다. 그리고 이 토큰들을 탈중앙화 대출 서비스인 에이브에 담보로 분산 예치하고 현금에 해당하는 래핑ETH 등 다수의 코인을 1억9000만달러어치 대출을 받습니다. 담보로 맡긴 rsETH는 허위로 발행된 영수증이기 때문에 에이브 입장에서는 담보 가치가 0인 부실 대출만 남게 된 것입니다. 이게 이번 Kelp DAO 해킹 사태의 전말입니다.
그래서 지금은 어떤 상태일까요. 전날 기준으로 피해액의 상당수는 동결에 성공했습니다. 이더리움의 레이어2인 아비트럼에서 탈취된 자산에 해당하는 3만766ETH를 동결시킴으로써 유출을 막았습니다. 탈취 자금의 4분의 1에 해당하는 규모입니다. 하지만 나머지 자금들은 다양한 네트워크를 통해 세탁이 이뤄지고 있구요. 일부는 토르체인을 통해 이더리움에서 비트코인으로 환전됐고 일부는 프라이버시 프로토콜인 엄브라(Umbra)를 통해 추가 세탁이 진행되고 있습니다. 보안 전문가들은 이같은 세탁 경로가 북한과 연계된 해킹 조직인 라자루스 그룹이 자주 활용한 방식이라며 배후를 북한으로 지목하고 있습니다.
하지만 가장 큰 피해를 입은 곳은 에이브입니다. 대규모 부실 대출이 발생함에 따라 예치금을 돌려받지 못할 것이란 우려로 사건 발생 이후 이틀만에 무려 84억5000만 달러 규모의 자산이 빠져나갔습니다. 이에 따라 전체 탈중앙화 금융의 예치 자산도 132억 달러 이상 감소했습니다. 에이브 토큰(AAVE) 가격도 하루만에 20% 급락했습니다. Kelp DAO, 레이어제로, 그리고 에이브로 이어진 연쇄 파급 효과가 전체 탈중앙화 금융 생태계에 막대한 타격을 가한 것입니다.
보장받지 않은 연결, 기둥 무너진 다리와도 같아
Kelp DAO 해킹이 탈중앙화 금융 생태계에 야기한 사태의 시사점은 세가지로 정리할 수 있습니다. 가장 먼저 검증되지 않은 연결은 늘어날수록 더 위험하다는 것입니다. 탈중앙화 금융의 장점은 서로 다른 서비스들이 레고 블록처럼 연결돼 자본 효율을 높이는 것입니다. 그런데 이번 사태는 그 연결이 동시에 최대 약점이 될 수 있음을 보여줬습니다. 하나의 취약점을 노린 공격이 다른 탈중앙화 금융까지 연계돼 불과 수십분만에 수십억 달러 피해를 야기시켰습니다. 이어 48시간 만에 탈중앙화 금융 생태계 전체에서 132억달러, 한화로 20조원에 달하는 자본이 이탈하는 현상이 발생했습니다. 서비스들이 잘 연결돼 있기 때문에 그만큼 철수도 쉬운 것입니다.
다음으로는 과거 있었던 여러 공격의 대상이었던 스마트 컨트랙트 소스코드 뿐 아니라 네트워크 인프라도 공격의 대상이 될 수 있다는 것입니다. Kelp DAO의 스마트 컨트랙트 코드는 이번 해킹에서 취약점을 보이지 않았습니다. 그보다 브릿지의 검증 인프라에서 문제가 발생했던 것이죠. 이는 지금까지 블록체인 업계에서 안전의 보증서처럼 통용됐던 코드 감사(audit)만으로는 공격을 잘 막을 수 없음을 시사합니다. 그 코드가 어떤 인프라 위에서 어떤 설정으로 돌아가는지까지 검증해야 한다는 새로운 과제가 생겼다고 할 수 있습니다.
마지막으로는 해킹 피해가 일반 사용자들에게까지 무차별적으로 확산된다는 점입니다. 이번 사태의 여파로 에이브의 스테이블코인 풀이 동결돼 해킹과 전혀 무관하게 예치에 대한 보상을 받기 위해 스테이블코인을 예치해뒀던 다수의 이용자들이 자금을 제때 인출하지 못하는 상황이 발생했습니다. 탈중앙화 금융에는 아직까지 법적 규제나 제도에 따른 예금자 보호 등 안전망이 없기 때문에 억울한 피해에 대한 보상을 기대하기 어렵습니다. 한국의 디지털자산기본법이 하루빨리 통과돼야 할 이유이기도 합니다.
![휴전도 봉쇄도 무기한 연장, 믿을 건 AI뿐…기술주·유가 동반 상승 [빈난새의 개장전요것만]](https://img.hankyung.com/photo/202604/99.43018627.1.jpg)
!["중동에서 줄서서 사간다"…황제주 등극하더니 '파격 전망' [종목+]](https://img.hankyung.com/photo/202604/01.43932635.1.jpg)
English (US) · 