레이어제로(LayerZero)는 켈프 분산형 자율 조직(DAO) (Kelp DAO) 공격의 배후로 북한의 라자루스 그룹(Lazarus Group)을 지목했으며, 프로토콜 검증자 설정의 단일 장애 지점이 공격을 가능하게 한 기술적 근본 원인이라고 밝혔습니다.
4월 18일 발생한 해킹으로 Kelp DAO의 rsETH 풀에서 약 2억 9200만 달러가 유출되었으며, 이는 2026년 현재까지 발생한 DeFi 해킹 중 최대 규모입니다. 디파이라마(defillama) 에 따르면 이 사건으로 인해 DeFi 부문 전체의 TVL(Total Value Locked) (TVL)은 24시간 만에 7% 감소하여 850억 달러가 되었습니다.
이번 공격의 배후 규명은 확정적인 결론이 아니라 확률적 주장으로 제시되었습니다. 레이어제로(LayerZero)는 라자루스(Lazarus)가 유력한 용의자일 가능성이 높다고 밝혔을 뿐, 확정된 것은 아닙니다. 이러한 차이가 프로토콜, 사용자, 그리고 크로스체인 보안 모델에 어떤 의미를 갖는지가 이 기사의 핵심 내용입니다.
- Attribution source: LayerZero conducted the post-incident investigation and named North Korea's Lazarus Group – specifically the TraderTraitor subgroup – as the likely perpetrator.
- 기술적 근본 원인: Kelp 분산형 자율 조직(DAO) LayerZero가 반복적으로 권장한 다중 검증자 중복 구성(DVN)을 무시하고 1:1 DVN 설정을 운영했습니다.
- 피해 금액: Kelp DAO의 rsETH 풀에서 약 2억 9200만 달러가 유출되었습니다. LayerZero 프로토콜 코드나 개인 키는 유출되지 않았습니다.
- 시장 영향: 이번 사건 이후 DeFi Total Value Locked(TVL) 24시간 만에 7% 감소하여 860억 달러를 기록했습니다.
- 대응: LayerZero는 영향을 받은 RPC 노드를 비활성화하고 DVN 운영을 완전히 복구했습니다. 자금 추적을 위해 사법 당국과 협력하고 있습니다.
- 주목하세요: 켈프 분산형 자율 조직(DAO) 보상 메커니즘을 발표할지, 그리고 단일 DVN 구성을 사용하는 다른 크로스체인 프로토콜들이 다음 공격 전에 문제 해결에 나설지 여부.
LayerZero의 Kelp 분산형 자율 조직(DAO) Lazarus 테스트 결과: 크로스체인 아키텍처에서 단일 장애 지점이 실제로 의미하는 바는 무엇인가
이번 공격은 여러 단계를 거치는 정교한 방식으로 진행되었습니다. 공격자들은 LayerZero의 분산형 검증자 네트워크에 데이터를 공급하는 RPC 인프라를 오염시킨 후, 손상된 백업 노드로 페일오버를 강제하도록 설계된 DDoS 공격을 감행했습니다.
검증자 네트워크가 리디렉션되면서 시스템은 허위 크로스체인 거래를 검증했고, 사기가 감지되기 전에 2억 9200만 달러 상당의 rsETH가 Kelp DAO 풀에서 빠져나갔습니다.
핵심적인 원인은 Kelp 분산형 자율 조직(DAO) 1:1 DVN 구성을 사용했다는 점입니다. 즉, 프로토콜과 치명적인 장애 사이에 단 하나의 검증자 노드만 존재한다는 뜻입니다. LayerZero는 조사 결과에 따르면 이러한 아키텍처가 부적절하다고 여러 차례 지적했으며, 업계 모범 사례에 부합하는 다중 DVN 구성을 권장했습니다. 하지만 Kelp 분산형 자율 조직(DAO) 이러한 권장 사항을 따르지 않았습니다.
다중 DVN 구성에서는 공격자가 여러 독립 검증 노드를 동시에 공격해야 했기 때문에 기술적으로 훨씬 더 어려웠습니다. 하지만 1:1 구성은 이러한 장벽을 완전히 무너뜨렸습니다. 리플 CTO인 데이비드 슈워츠는 X에서 "이번 공격은 예상보다 훨씬 정교했으며, KelpDAO의 지연 실행 기능을 악용한 LayerZero 인프라를 겨냥한 것이었습니다."라고 말했습니다.
레이어제로의 대응은 매우 정밀했습니다. 팀은 사고 발생 후 영향을 받은 모든 RPC 노드를 즉시 사용 중지하고, 동일한 인프라를 사용하는 다른 프로토콜로의 확산을 막으면서 DVN 운영을 완벽하게 복구했습니다. 레이어제로 프로토콜 코드는 손상되지 않았으며, 개인 키도 노출되지 않았습니다. 이번 오류는 근본적인 문제가 아니라 아키텍처적인 문제였습니다. 이는 프로토콜의 신뢰성에 매우 중요한 차이점이지만, 2억 9200만 달러의 손실을 복구하는 데에는 아무런 도움이 되지 않습니다.
북한의 공격 원인 규명이 모든 DeFi의 위협 모델을 어떻게 바꾸는가
레이어제로의 라자루스 켈프 분산형 자율 조직(DAO) 관련 주장은 확정된 것은 아니지만 가능성이 높다는 입장이며, 이는 이미 확립되어 가속화되고 있는 추세와 일치합니다.
알려진 라자루스 작전 조직인 트레이더트레이터(TraderTraitor) 하위 그룹이 포렌식 분석에서 예비적으로 확인되었습니다. 레이어제로(LayerZero)는 자금 추적을 위해 전 세계 법 집행 기관과 적극적으로 협력하고 있으며, 이는 해당 조직이 국가 차원의 수사 자원을 투입할 만큼 충분한 증거력을 갖고 있음을 시사합니다.
라자루스는 2022년 6억 2500만 달러 규모의 로닌(Ronin) 네트워크 해킹 사건을 비롯해 기록상 가장 큰 규모의 암호화폐 절도 사건들과 연루되어 있으며, 미국 트레져리 와 유엔의 평가에 따르면 이러한 사건들을 통해 수십억 달러가 북한의 무기 개발 프로그램에 유입되었습니다.
북한의 암호화 관련 작전은 직접적인 공격에만 그치지 않습니다 . 북한 정권은 웹3 기업 내부에 위조된 신분으로 요원들을 심어놓는 이중적인 방식을 통해 인프라를 넘어 공격 범위를 넓히고 있습니다.
크로스체인 프로토콜은 이러한 유형의 공격자에게 구조적으로 매력적인 표적입니다. 여러 체인 간의 중요한 연결 지점에 위치하며, 단일 애플리케이션의 잔액을 훨씬 능가하는 유동성을 공동으로 보유하는 경우가 많고, 보안은 잘못 구성될 경우 단일 장애 지점이 될 수 있는 검증자 네트워크에 의존합니다. 검증자 네트워크를 겨냥한 RPC 스푸핑은 새로운 공격 방식이며, 보안 연구원들은 이러한 공격 방식이 이미 문서화되고 재현 가능하다고 말합니다.
