Lido EarnETH 보관소가 KelpDAO 브리지 해킹으로 2160만 달러의 손실을 입었습니다.

최근 발생한 대규모 KelpDAO 브리지 공격으로 인해 Lido EarnETH 볼트가 2억 9,200만 달러 규모의 손실을 입는 심각한 DeFi 보안 사고가 발생했습니다. 2024년 11월 15일 Lido DAO에서 공식적으로 확인한 이 사건은 탈중앙화 금융 프로토콜 내의 상호 연결된 위험성을 여실히 보여줍니다. 이에 따라 Lido 프로토콜은 피해 규모를 평가하는 동안 EarnETH 인출을 일시적으로 중단했습니다. 다행히 핵심 Lido 스테이킹 프로토콜과 주요 유동성 스테이킹 토큰인 stETH 및 wstETH는 이번 사건의 영향을 받지 않았습니다.

Lido EarnETH Vault, 직접적인 위험에 직면

Lido EarnETH 볼트는 Aave 대출 플랫폼에서 ETH 대비 rsETH 레버리지 포지션을 보유하고 있습니다. 약 2,160만 달러 규모의 이 포지션은 볼트 전체 자산의 약 9%를 차지합니다. 이 포지션에 포함된 rsETH 토큰은 심각한 취약점 공격을 받은 KelpDAO 브리지에서 가치를 파생합니다. 따라서 이 토큰의 가치와 상환 가능성에 대한 의문이 제기되고 있습니다. Lido 팀은 볼트 참여자에게 미치는 정확한 재정적 영향을 산정하기 위해 적극적으로 노력하고 있습니다.

또한, 해당 프로토콜은 비상 대응 계획을 실행에 옮겼습니다. 영향을 받은 EarnETH 볼트에서의 출금이 일시 중단되었습니다. 이는 볼트의 상황에 대한 철저한 분석을 위한 조치입니다. 팀은 손실을 악화시킬 수 있는 무분별한 출금을 방지하는 것을 목표로 합니다. 한편, Lido는 rsETH 토큰을 복구할 수 없게 될 경우 초기 손실을 보전하기 위한 300만 달러 규모의 초기 손실 보상 기금을 마련했다고 사용자들에게 확신시켰습니다.

KelpDAO 브리지 익스플로잇의 구조 분석

이번 공격의 근본 원인은 크로스체인 인프라 프로토콜인 KelpDAO 브리지에 있습니다. 온체인 분석가들에 따르면 공격자들은 브리지의 스마트 계약 코드에 있는 취약점을 악용했습니다. 이 취약점을 이용해 약 2억 9,200만 달러 상당의 rsETH 토큰 116,500개를 무단으로 발행했습니다. 이후 공격자들은 여러 탈중앙화 거래소의 유동성을 빠르게 고갈시켰습니다. 아래 표는 이번 공격의 주요 지표를 요약한 것입니다.

이번 사건은 DeFi의 고질적인 과제인 브리지 보안 문제를 다시 한번 부각시켰습니다. 블록체인 간 자산 전송을 가능하게 하는 브리지는 종종 고가치 공격 대상이 됩니다. 브리지의 복잡한 코드베이스와 수탁 모델은 다양한 공격 가능성을 내포하고 있습니다. KelpDAO 공격은 Ronin Bridge 및 Wormhole 사건을 포함한 주요 브리지 해킹 사건들의 우려스러운 추세를 이어가고 있습니다.

DeFi 위험 관리 및 프로토콜 상호의존성

이 사례는 현대 DeFi 생태계의 다층적인 위험을 보여줍니다. Lido EarnETH 볼트는 자체 스마트 계약에 대한 직접적인 침해를 겪지는 않았지만, Aave와의 통합 및 rsETH 노출로 인해 거래 상대방 위험 과 자산 가치 하락 위험에 노출되었습니다. 이러한 연쇄적인 위험 노출은 하나의 프로토콜의 취약점이 생태계 전체로 어떻게 파급될 수 있는지를 보여줍니다. 위험 관리자들은 핵심 프로토콜뿐만 아니라 통합된 모든 자산과 파트너의 보안을 감사하는 것이 얼마나 중요한지 강조합니다.

주요 위험 요소는 다음과 같습니다.

• 레버리지 효과: 금고가 Aave를 이용한 차입은 잠재적 손실을 증폭시켰습니다.
• 크로스체인 자산 의존성: 브리지 자산(rsETH)에 대한 의존성은 브리지 관련 위험을 초래했습니다.
• 유동성 의존성: 해당 포지션의 가치는 rsETH의 정상적인 시장 상황에 따라 결정되었습니다.

리도 측의 대응 및 사용자 보호 조치

리도의 거버넌스 및 운영팀은 다단계 완화 전략을 통해 대응했습니다. 첫째, 커뮤니티에 위험 노출 사실을 즉시 알렸습니다. 투명성은 이러한 위기 관리의 핵심 요소입니다. 둘째, 금고의 회계를 안정화하기 위해 일시적인 환매 중단을 시행했습니다. 셋째, 핵심 스테이킹 운영은 안전하다는 점을 사용자들이 이해할 수 있도록 범위에 대해 명확히 설명했습니다.

300만 달러 규모의 초기 손실 보호 기금은 선제적인 위험 관리 기능을 나타냅니다. 이 기금은 완충 장치 역할을 하여 사용자 자본에 영향을 미치기 전에 초기 손실을 흡수합니다. 이 기금의 존재는 단순한 스마트 계약 보안을 넘어 사용자 안전에 대한 Lido의 헌신을 보여줍니다. 프로토콜은 rsETH 포지션에 대한 전체 감사가 완료된 후 이 기금의 최종 사용처를 결정할 것입니다. 커뮤니티 거버넌스는 추가 조치 또는 보상에 대해 투표할 수 있습니다.

유동성 스테이킹 부문에 미치는 광범위한 영향

이번 사태는 유동성 스테이킹 파생상품(LSD) 생태계의 회복력을 시험하는 계기가 될 것입니다. 업계를 선도하는 Lido는 자사의 핵심 스테이킹 프로토콜이 외부와 격리되어 있다고 주장합니다. 시장의 반응은 투자자 신뢰도를 가늠하는 중요한 지표가 될 것입니다. 과거 사례를 보면, 명확한 소통과 적절한 보험을 통해 잘 관리된 사고는 장기적인 피해를 최소화해 왔습니다. Lido의 핵심 스테이킹 엔진과 보조적인 수익률 저장소를 분리한 것은 위험을 분산시키기 위한 의도적인 설계 원칙입니다.

다른 유동성 스테이킹 프로토콜들도 자체 통합 및 위험 노출에 대한 검토를 진행하고 있을 가능성이 높습니다. 이번 사건은 다음과 같은 업계 동향을 가속화할 수 있습니다.

• 제3자 브릿지 제공업체에 대한 강화된 실사.
• 레버리지 금고에 대한 보다 보수적인 담보 정책.
• 프로토콜 소유 보험 또는 재무부 보증에 대한 할당 확대.

결론

켈프다오(KelpDAO) 해킹으로 리도(Lido)의 EarnETH 볼트가 노출된 사건은 탈중앙화 금융(DeFi)의 복잡한 위험 구조를 여실히 보여줍니다. 2,160만 달러에 달하는 피해액은 상당하지만, 리도의 체계적인 대응과 기존 보호 메커니즘 덕분에 사용자 손실을 최소화할 수 있을 것으로 예상됩니다. 핵심 리도 스테이킹 프로토콜의 안전성은 여전히 건재하며, 이는 더 넓은 이더리움 생태계에 매우 중요한 사실입니다. 이번 사건은 모든 DeFi 참여자들에게 프로토콜 자체의 보안뿐 아니라 금융 스택을 구성하는 모든 자산과 파트너의 건전성까지 면밀히 검토해야 한다는 점을 다시 한번 일깨워줍니다. 최종적인 해결은 해킹으로 손실된 rsETH 자산의 복구 가능성과 리도의 위험 관리 체계의 효과성에 달려 있습니다.

자주 묻는 질문

Q1: 제 stETH나 wstETH는 이번 해킹으로부터 안전한가요?
A1: 네. 리도는 해당 사건이 리도 스테이킹 프로토콜, stETH 또는 wstETH의 핵심 기능과는 무관하며 영향을 미치지 않는다고 명시적으로 밝혔습니다. 이번 노출은 특정 수익 창출형 볼트 상품에만 국한됩니다.

Q2: 300만 달러 최초 손실 보호 메커니즘이란 무엇입니까?
A2: 이는 사용자 자금에 영향을 미치기 전에 특정 리도 상품에서 발생하는 초기 손실을 흡수하기 위해 설계된 전용 자본 풀입니다. 특정 위험 시나리오에 대한 내부 보험 역할을 합니다.

Q3: EarnETH 볼트에서 ETH를 인출하는 것은 언제 재개되나요?
A3: 리도는 rsETH 가치 하락의 정확한 재정적 영향을 평가하기 위해 일시적으로 환매를 중단했습니다. 팀은 분석을 완료하고 필요한 조치를 결정한 후 환매 재개 일정을 발표할 예정입니다.

Q4: 브리지 해킹은 다른 프로토콜의 볼트에 어떤 영향을 미칩니까?
A4: 해당 금고에는 rsETH라는 토큰이 보관되어 있었는데, 이 토큰의 가치와 기능은 전적으로 KelpDAO 브리지에 달려 있습니다. 브리지가 해킹당하고 rsETH가 악용되면서 토큰의 근본적인 가치 제안이 훼손되었고, Aave와 같은 다른 플랫폼의 금고를 포함한 모든 보유자에게 영향을 미쳤습니다.

Q5: 이번 사건을 통해 DeFi 수익률 금고 사용자들은 무엇을 배워야 할까요?
A5: 사용자는 모든 수익률 전략의 기반이 되는 특정 자산과 프로토콜을 이해해야 합니다. 위험에는 볼트 자체의 스마트 계약뿐만 아니라 볼트가 보유한 자산(예: 브릿지 토큰)의 보안 및 통합 플랫폼(예: 대출 시장)의 보안도 포함됩니다. 분산 투자와 거래 상대방 위험에 대한 이해는 필수적입니다.