리플의 명예 CTO인 데이비드 슈워츠는 이번 주 켈프 분산형 자율 조직(DAO) rsETH 브릿지가 약 2억 9200만 달러의 손실을 초래한 사건 이후 날카로운 지적을 내놓았습니다.
그는 이런 일이 일어날 줄 예상했었다. 이번 공격 자체를 예상한 건 아니지만, 이런 일이 가능하게 된 배경을 예상했던 것이다.
슈워츠는 X 포럼에 "RLUSD에서 사용할 수 있는 많은 DeFi 브리징 시스템을 평가했습니다."라고 썼습니다. "저는 거의 전적으로 보안 및 위험 측면에 집중했습니다. 제가 주목한 한 가지는 대부분의 시스템이 매우 잘 설계되었고 KelpDAO 사태의 원인이 된 것으로 보이는 유형의 공격으로부터 보호하기 위한 강력한 메커니즘을 갖추고 있다는 점입니다."
보안 기능을 숨긴 영업 전략
슈워츠가 설명한 것은 그가 평가 과정에서 반복적으로 접했던 패턴입니다. 브리지 제공업체들은 최첨단 보안 기능을 강조한 후, 거의 곧바로 그러한 기능은 선택 사항이며 대부분의 고객은 사용하지 않는다고 시사하곤 했습니다.
그는 "그들은 일반적으로 가장 중요한 보안 메커니즘을 사용하는 데 드는 편의성과 운영 복잡성 때문에 굳이 사용하지 않는 것이 좋겠다고 권고했다"며, "우리는 종종 체인을 추가하는 것이 얼마나 간단하고 쉬운지 강조받았는데, 이는 우리가 그들이 가진 최고의 보안 기능을 사용하지 않을 것이라는 암묵적인 가정을 깔고 있었다"고 썼다.
"그들의 영업 전략은 최고의 보안 기능을 갖추고 있으면서도 사용과 확장이 간편하다는 것이었습니다. 물론 보안 기능을 사용하지 않는다는 가정 하에 말이죠."라고 그는 말했다.
켈프 분산형 자율 조직(DAO) 에 실제로 무슨 일이 일어났을까요?
4월 19일, Kelp 분산형 자율 조직(DAO) rsETH와 관련된 의심스러운 크로스체인 활동을 감지하고 메인넷 및 여러 레이어 2 네트워크에서 해당 계약들을 일시 중지시켰습니다. 레이어 제로 관련 계약 호출을 통해 약 116,500 rsETH가 유출되었으며, 이는 현재 시세로 약 2억 9,200만 달러에 해당합니다.
D2 Finance의 온체인 분석 결과, 근본 원인은 소스 체인에서 발생한 개인 키 유출로, 이로 인해 OApp 노드와의 신뢰 문제가 발생했으며 공격자는 이를 악용하여 브리지를 조작한 것으로 밝혀졌습니다.
슈워츠는 프로토콜 수준에서 무엇이 잘못되었는지에 대한 자신의 가설을 제시했습니다. 그는 "KelpDAO가 편의상 핵심적인 레이어제로 보안 기능을 사용하지 않기로 결정한 것이 문제의 일부일 것 같다는 예감이 든다"라고 썼습니다.
레이어제로 자체는 분산형 검증 네트워크를 포함한 강력한 보안 메커니즘을 제공합니다. 조사관들이 현재 검토하고 있는 질문은 켈프 분산형 자율 조직(DAO) 보다 복잡하지만 훨씬 더 안전한 옵션 대신, 레이어제로 랩스를 유일한 검증자로 하는 단일 장애 지점과 같은 최소한의 보안 설정을 사용하여 구현했는지 여부입니다.
