北 라자루스 소행…RPC 노드 해킹
컨트랙트 결함 아닌 오프체인 공격
아비트럼, 3만 ETH 동결 조치
단일 검증망 한계, 크로스체인 비상
![북한 라자루스 그룹으로 추정되는 해커가 켈프다오에서 탈취한 자금을 다수의 주소를 거쳐 단일 병합 주소로 모으는 과정을 나타낸 온체인 데이터 흐름도. 아비트럼의 발 빠른 개입으로 탈취금 일부가 우측 하단의 홀딩 주소에 동결됐다. [자료=체이널리시스]](https://wimg.mk.co.kr/news/cms/202604/24/news-p.v1.20260424.27ec50d8997e43ada7c75605abb178a3_P1.png)
지난 4월 18일 북한 국가 연계 해킹 조직 라자루스 그룹이 탈중앙화 금융(디파이·DeFi) 프로토콜 Kelp DAO(켈프다오)의 레이어제로(LayerZero) 브리지를 공격해 11만6500 rsETH, 2억9200만달러(약 3900억원) 상당의 가상자산을 탈취한 사건은 올해 발생한 디파이 분야 사상 최대 규모의 해킹으로 rsETH 유통량의 약 18%에 해당하는 물량이 한꺼번에 유출됐다.
이번 사건이 전통적인 스마트 컨트랙트 해킹이 아닌 크로스체인 브릿지의 ‘오프체인 인프라’를 겨냥한 신종 수법으로 드러나 가상자산 디파이 생태계에 충격을 주고 있다.
23일(현지시간) 블록체인 데이터 분석 기업 체이널리시스(Chainalysis)에 따르면 지난 18일 해커들은 켈프다오의 레이어제로(LayerZero) 브릿지 어댑터를 공격해 대규모 자금을 탈취했다. 눈에 띄는 점은 이번 해킹이 재진입(Reentrancy) 버그나 가격 오라클 조작 등 흔히 알려진 스마트 컨트랙트의 취약점을 노린 것이 아니라는 것이다.
체이널리시스에 따르면 해커들은 레이어제로 랩스(LayerZero Labs)가 Kelp DAO를 위해 운영하던 오프체인 검증 인프라의 단일 장애점(Single Point of Failure)을 집요하게 파고들었다.
당시 Kelp DAO의 rsETH는 레이어제로 랩스의 분산형 검증 네트워크(DVN) 단 1곳만 거치면 크로스체인 메시지가 승인되도록 설정되어 있었다.
공격자는 이 DVN이 참조하는 RPC(원격 프로시저 호출) 노드들을 타깃으로 삼았다. 이들은 제3자가 운영하는 외부 RPC 노드에 분산 서비스 거부(DDoS) 공격을 가해 통신을 마비시킨 뒤 레이어제로가 직접 호스팅하는 내부 RPC 노드 2곳에 침투해 소프트웨어를 변조했다.
외부 노드와 연결이 끊긴 DVN은 해커가 장악한 내부 노드의 데이터만을 수신하게 됐고, 해커들은 소스 체인(유니체인)에서 rsETH가 ‘소각’된 것처럼 가짜 데이터를 주입했다.
결과적으로 이더리움상의 브릿지 컨트랙트는 잊지도 않은 소각 데이터를 근거로 해커의 주소에 11만 6500 rsETH를 정상적으로 전송했다. 공격에 사용된 노드들은 범행 직후 악성 바이너리와 로그를 모두 삭제하며 자폭하도록 설계되는 치밀함도 보였다.
![16억 5000만달러(약 2조 2000억원) 규모의 예치금(TVL)을 자랑하는 켈프다오(KelpDAO) 공식 홈페이지 화면. 최근 이더리움 유동성 재예치(Liquid Restaking) 열풍에 힘입어 급성장했으나 이번 오프체인 인프라 취약점 공격으로 프로젝트 신뢰도에 큰 타격을 입게 됐다. [출처=KelpDAO]](https://wimg.mk.co.kr/news/cms/202604/24/news-p.v1.20260424.5927a47e0ea64906a57ef25d16347fa4_P1.png)
기존의 온체인 보안 솔루션들은 이 공격을 전혀 탐지하지 못했다. 서명, 메시지 형식, 컨트랙트 호출 등 모든 트랜잭션이 표면적으로는 완벽히 ‘정상’이었기 때문이다.
체이널리시스 측은 “이는 개별 트랜잭션의 문제가 아니라 시스템 상태(System-state)의 문제”라며, 소스 체인과 목적지 체인 간의 자금 이동 수학적 일치 여부를 실시간으로 감시하는 ‘크로스체인 불변성 모니터링’의 부재를 꼬집었다.
체이널리시스에 크로스체인 불변성(invariant)을 실시간 모니터링하는 시스템이 있었다면 첫 자금 방출 직후 소스 체인에 매칭되는 소각 기록이 없다는 점을 즉각 파악할 수 있었다는 설명이다.
불행 중 다행으로 추가 피해는 막았다. 이상 징후를 감지한 Kelp DAO는 즉각 이더리움 및 L2 배포 컨트랙트를 일시 정지하고 SEAL-911과 협력해 해커의 주소를 블랙리스트에 올렸다. 이 조치 덕분에 약 9500만달러(4만 rsETH)를 추가로 빼내려던 해커의 두 번째 ‘유령 패킷’ 공격은 무산됐다.
사건 발생 이틀 뒤인 20일, 아비트럼(Arbitrum) 보안위원회는 사법당국과의 공조를 통해 해커가 아비트럼 원(Arbitrum One) 네트워크로 빼돌린 자금 중 약 3만766 ETH를 긴급 동결하는 데 성공했다. 이 자금은 현재 다른 일반 사용자나 체인에 영향을 주지 않는 중간 지갑으로 옮겨져 사실상 해커의 접근이 차단된 상태다.
이번 켈프다오 사태는 디파이 보안의 새로운 패러다임을 요구하고 있다. 체이널리시스는 브릿지 등 크로스체인 프로토콜 운영에 있어 ▲단일 노드에 의존하지 않는 다중 쿼럼(Quorum) 설계 ▲다중 레이어 기반의 불변 모니터링 도입 ▲강력하고 신뢰할 수 있는 컨트랙트 일시 정지(Pause) 메커니즘 확보가 필수적이라고 강조했다.
![[MK시그널] 고영, 1분기 어닝 서프라이즈 및 AI 반도체 검사장비 공급 확대 기대감에 주가 상승세... K시그널 추천 후 상승률 24.06%](https://pimg.mk.co.kr/news/cms/202604/24/news-p.v1.20260424.67d67d82c4d74bf4a0db20cc4dbdba19_R.jpg)
English (US) · 