재스테이킹된 이더 토큰 유통량의 거의 5분의 1을 보유하고 있던 크로스체인 브리지의 자금이 고갈되면서, 그 여파가 Kelp DAO가 계약을 일시 중지하는 속도보다 더 빠르게 DeFi 생태계 전반에 퍼지고 있습니다.
토요일 17시 35분(UTC)에 공격자가 Kelp DAO의 LayerZero 기반 브리지에서 116,500 rsETH(재스테이킹된 이더리움)를 빼돌렸습니다. 이는 현재 시세로 약 2억 9,200만 달러에 해당하며, CoinGecko에서 추적하는 rsETH 유통량 63만 개의 약 18%에 해당합니다.
레이어제로(LayerZero)는 크로스체인 메시징 레이어, 즉 서로 다른 블록체인 간에 검증된 명령어를 주고받을 수 있도록 하는 인프라입니다. 켈프 DAO(Kelp DAO)는 유동성이 높은 리스테이트링 프로토콜로, 사용자가 예치한 이더리움($ETH)을 아이젠레이어(EigenLayer)를 통해 처리하여 표준 이더리움 스테이킹 보상 외에 추가 수익을 창출하고, 거래 가능한 영수증인 rsETH를 발행합니다.
물이 빠진 다리에는 20개 이상의 다른 블록체인에 배포된 토큰의 래핑 버전을 뒷받침하는 rsETH 준비금이 보관되어 있었습니다.
공격자는 LayerZero의 크로스체인 메시징 레이어를 속여 다른 네트워크에서 유효한 명령이 도착했다고 믿게 만들었고, 이로 인해 Kelp의 브리지가 공격자가 제어하는 주소로 116,500 rsETH를 전송했습니다.
Kelp의 비상 일시 중지 멀티시그 기능은 성공적인 드레인 후 46분 뒤인 18시 21분(UTC)에 프로토콜의 핵심 계약을 동결했습니다. 이후 18시 26분(UTC)과 18시 28분(UTC)에 두 차례 시도가 있었지만 모두 실패했으며, 각각 약 1억 달러에 해당하는 4만 rsETH 드레인을 시도하는 동일한 LayerZero 패킷을 전송했습니다.
rsETH는 Base, Arbitrum, Linea, Blast, Mantle, Scroll을 포함한 20개 이상의 네트워크에 배포되어 있으며, LayerZero의 OFT 표준이 크로스체인 이동을 처리합니다.
브리지에 보관된 rsETH는 모든 레이어 2 블록체인, 즉 이더리움 기반 네트워크에서 래핑된 버전을 뒷받침하는 예비 자금이었습니다.
준비금이 고갈됨에 따라 이더리움 이외의 플랫폼에 토큰을 보유한 사용자들은 이제 자신들의 토큰을 뒷받침할 만한 것이 없는지에 대한 의문에 직면하게 되었고, 이는 L2 스테이킹에서의 패닉성 상환으로 이더리움 공급량이 압박을 받아 Kelp가 인출 요청을 수용하기 위해 스테이킹 포지션을 해제해야 하는 악순환을 초래할 수 있습니다.
감염자 명단은 길고 계속 늘어나고 있습니다.
Aave는 설립자 Stani Kulechov가 이번 공격은 외부 요인에 의한 것이며 Aave의 계약은 손상되지 않았다고 확인한 후, 몇 시간 만에 V3 및 V4 플랫폼의 rsETH 마켓플레이스를 동결했습니다. SparkLend와 Fluid도 자사의 rsETH 마켓플레이스를 동결했습니다.
시장이 잠재적 부실채권을 가격에 반영하면서 AAVE는 약 10% 하락했습니다.
리도 파이낸스는 rsETH 노출이 있는 earnETH 상품에 대한 추가 입금을 일시 중단했으며, stETH와 wstETH는 영향을 받지 않고 핵심 리도 스테이킹 프로토콜은 이번 사건과 관련이 없다고 밝혔습니다.
이더리움 메인넷에서 레이어제로 OFT 브릿지를 일시적으로 중단한다고 발표한 이더리움 측은 rsETH 노출은 없으며 담보 비율이 101%를 초과한다고 밝혔습니다. 이 스테이블코인 발행사는 근본 원인을 파악하는 동안 약 6시간 동안 중단 조치가 지속될 것이라고 덧붙였습니다.
KernelDAO 산하 제품인 Kelp는 데이터 유출 발생 약 3시간 후인 20시 10분(UTC)에 첫 공식 X Post를 통해 해당 사건을 인정했습니다. Kelp 프로토콜 측은 LayerZero, Unichain, 자체 감사 기관 및 외부 보안 전문가와 함께 조사 중이라고 밝혔습니다. 하지만 해당 공격이 브리지의 유효성 검사 로직을 어떻게 우회했는지는 공개하지 않았습니다.
rsETH가 주말까지 페그를 유지할 수 있을지는 크로스체인 유통량 중 얼마나 많은 양이 이더리움에서 $ETH 로 상환되려 하는지, 그리고 Kelp가 Tornado Cash 추적이 끊기기 전에 도난당한 자금의 일부라도 회수할 수 있는지에 달려 있습니다.
이번 해킹 사건은 디파이(DeFi) 업계에 이례적으로 적대적인 시기에 발생했습니다. 솔라나(Solana) 기반 무기한 거래 프로토콜인 드리프트(Drift)는 4월 1일 북한 연계 세력과 연관된 공격으로 약 2억 8,500만 달러의 자금을 잃었으며, 이후 몇 주 동안 CoW 스왑, 제리온(Zerion), 레아 파이낸스(Rhea Finance), 실로 파이낸스(Silo Finance)를 포함한 최소 12개 이상의 소규모 프로토콜이 해킹 공격을 받았습니다.
켈프(Kelp)의 2억 9200만 달러 손실은 드리프트(Drift)보다 몇 백만 달러 더 많은 2026년 최대 규모의 디파이(DeFi) 해킹 사건이 되었습니다.
