Kelp 분산형 자율 조직(DAO) LayerZero 직원이 1:1 검증자 설정을 승인했다고 주장하며, LayerZero는 이후 북한과 연계된 공격자가 Kelp의 rsETH 브리지에서 약 2억 9200만 달러를 빼돌린 이유로 이 결정을 언급했습니다.
이 주장은 레이어제로가 4월 19일에 발표한 사후 분석 결과와 상반됩니다. 레이어제로는 해당 분석에서 켈프의 rsETH 애플리케이션이 레이어제로 랩을 유일한 검증 기관으로 사용했으며, 이러한 설정이 레이어제로가 권장하는 다중 DVN 모델과 "정면으로 모순된다"고 밝혔습니다.
켈프의 메모에 따르면 레이어제로 직원들은 2년 반이 넘는 기간 동안 그리고 8차례의 통합 논의를 거치면서 1:1 설정이 중대한 보안 위험을 초래할 수 있다는 경고를 전혀 받지 못했습니다.
"레이어제로 브리지 해킹 관련 사실 바로잡기"라는 제목의 이 메모에는 레이어제로가 켈프의 검증기 설정에 대해 알고 있었고 이의를 제기하지 않았다는 사실을 보여주는 텔레그램 대화 스크린샷이 포함되어 있습니다.
한 스크린샷에는 LayerZero 팀원이 "기본값을 사용하는 데 아무 문제 없습니다. 다만 [삭제됨] 님이 메시지 검증을 위해 사용자 지정 DVN 설정을 사용하고 싶어할 수도 있다고 언급했기 때문에 여기에 태그해 두는 것뿐입니다. 하지만 그건 팀에서 처리하도록 하겠습니다!"라고 말하는 장면이 나옵니다. Kelp는 이 대화에서 언급된 "기본값"은 LayerZero Labs의 1:1 DVN 구성이며, LayerZero는 나중에 이 구성이 취약점을 활성화한 애플리케이션 수준 설정이라고 밝혔습니다.
CoinDesk는 해당 스크린샷의 진위 여부를 독립적으로 확인할 수 없었습니다.
LayerZero의 템플릿
Kelp는 또한 LayerZero의 버그 바운티 범위, OFT Quickstart 및 개발자 예제를 근거로 LayerZero가 개발자에게 단일 DVN 설정을 보여주는 동시에 검증자 네트워크 선택을 애플리케이션 수준 구성으로 취급했음을 지적합니다.
LayerZero가 Immunefi에 대해 발표한 버그 바운티 범위에는 검증자 네트워크 및 실행기를 포함하여 "자체 구성 오류로 인해 OApp 자체에 미치는 영향"이 보상 대상에서 제외됩니다.
LayerZero OFT 빠른 시작 가이드와 GitHub에 있는 공식 OFT 예제 구성에서는 LayerZero Labs가 필수 DVN으로 표시되어 있으며 선택적 DVN은 설정되어 있지 않습니다.
켈프의 메모는 스피어비트 보안 연구원 수지트 솜라즈가 4월 19일에 올린 게시물을 인용하는데, 솜라즈는 해당 게시물에서 동일한 공격 패턴을 설명하는 버그 바운티 보고서를 제출했지만 레이어제로가 이를 거부했다고 밝혔다.
"제가 제시한 버그 바운티 는 취약점이 아니라 모든 DVN(데이터베이스 취약점)을 필요로 하는 것이었습니다."라고 Somraaj는 X에 글을 남겼습니다. "그런데 그들의 배포 방식은 '모든'이라는 부분을 삭제했습니다. 그 결과 해커들은 2억 9500만 달러의 바운티를 받게 되었습니다." Somraaj는 Cantina 프로필에 따르면 이전에 LayerZero에서 감사관으로 근무한 경력이 있습니다.
켈프가 체인링크(Chainlink) 로 이전합니다
Kelp는 또한 rsETH를 LayerZero에서 Chainlink의 크로스체인 상호운용성 프로토콜로 이전한다고 밝혔습니다. 이번 이전으로 rsETH는 LayerZero의 OFT 표준에서 Chainlink의 크로스체인 토큰 표준으로 옮겨가게 됩니다.
이번 공격으로 Kelp의 LayerZero 기반 브리지에서 약 2억 9200만 달러 상당의 116,500 rsETH가 유출되었습니다. Kelp 프로토콜 측은 Kelp가 계약을 일시 중단하기 전에 LayerZero Labs DVN에서 1억 달러가 넘는 금액의 위조 거래 두 건이 추가로 서명 및 처리되었다고 밝혔습니다.
레이어제로 측은 공격자들이 북한의 라자루스 그룹과 연관이 있을 가능성이 높다고 밝혔습니다. 이들은 레이어제로 랩의 DVN에서 사용하는 RPC 목록에 접근하여 두 개의 RPC 노드를 해킹하고 해당 노드에서 실행 중인 바이너리를 교체했습니다.
공격자들은 이후 손상되지 않은 RPC 노드에 대해 DDoS 공격을 감행하여, 감염된 노드로 페일오버를 강제했습니다. LayerZero에 따르면, 그 결과 DVN이 실제로 발생하지 않은 거래를 승인했습니다.
Kelp는 1:1 설정이 널리 퍼져 있었다고 주장합니다. CoinGecko는 듄 애널리틱스(Dune Analytics) 데이터를 인용하여 4월 22일경으로 끝나는 90일 동안 약 2,665개의 활성 LayerZero OApp 계약 중 47%가 1:1 DVN 구성을 실행했으며, 이와 관련된 시가총액은 45억 달러가 넘고 동일한 유형의 위험에 노출되었다고 밝혔습니다.
레이어제로의 사후 분석 보고서에 따르면 해당 프로토콜은 "의도한 대로 정확히 작동했다"고 합니다. 회사는 해킹 사건 이후 1:1 구성으로 실행되는 모든 애플리케이션에 대해 더 이상 메시지에 서명하지 않겠다고 밝혔으며, 이 정책 변경 사항이 적용되었습니다.
Kelp 측은 LayerZero가 먼저 취약점을 지적해야 했던 것이 아니라, 자사 팀이 LayerZero에 먼저 알려야 했다고 주장하며 LayerZero의 모니터링 시스템에 의문을 제기했습니다.
해당 메모는 또한 LayerZero Labs DVN과 Nethermind DVN 모두에서 ADMIN_ROLE 권한이 부여된 주소가 상당히 중복된다고 주장하며, 2026년 4월 8일에 10개, 2025년 2월 6일에 5개가 추가되었다고 명시하고 있습니다. CoinDesk는 온체인에서 이 주장을 독립적으로 검증하지 않았습니다.
레이어제로 측은 보도 시점까지 논평 요청에 응답하지 않았습니다.
문서에 따르면, 디나리(Dinari)와 스케일(SKALE) 포함한 최소 두 개의 통합 체인에서 레이어제로 랩스(LayerZero Labs) DVN이 여전히 유일하게 사용 가능한 증명자로 등록되어 있습니다.
