Kelp DAO는 LayerZero의 인프라가 2억 9200만 달러의 손실을 초래했다고 주장하며 7100만 달러 규모의 소송을 제기했습니다.
KelpDAO는 지난 4월 발생한 2억 9200만 달러 규모의 채굴 해킹 사건에 대해 LayerZero를 공개적으로 비난했으며, 기술적 분쟁이 7100만 달러 규모의 연방 소송으로 번진 가운데 자사의 크로스체인 시스템을 Chainlink 플랫폼으로 이전할 것이라고 발표했습니다.
Kelp 에 따르면 , 이번 공격은 악의적인 공격자들이 LayerZero 검증 네트워크의 RPC 노드를 장악하면서 시작되었으며, 이로 인해 시스템은 조작된 데이터에 의존하게 되고 사기성 거래가 승인될 수 있었습니다. 결과적으로 약 116,500개의 rsETH(이더리움 스테이킹 토큰)가 인터체인 브리지에서 인출되었습니다.
이번 공격은 북한의 라자루스 그룹과 연관된 것으로 추정됩니다. 켈프는 SEAL 911, Chainalysis, 그리고 수많은 보안 연구원들의 독립적인 보고서를 인용하여, 공격의 근원지가 켈프의 설정이 아니라 레이어제로 자체의 인프라라는 주장을 뒷받침합니다.
일대일 인증 구성 관련 논란.
이번 분쟁의 핵심은 모든 크로스체인 거래를 검증할 권한을 단 하나의 주체에게만 부여하는 이른바 '일대일 검증자' 구성 방식입니다. 켈프는 이러한 구성이 보안 위험에 대한 경고 없이 레이어제로 관계자들에 의해 직접 승인되었다고 주장하며, 유사한 구성이 자신의 시스템에만 국한된 것이 아니라 레이어제로 생태계 전반에 걸쳐 널리 사용되고 있다는 데이터를 제시합니다.
켈프는 또한 이번 공격 이후 레이어제로가 DVN 1-1 구성을 사용하는 모든 애플리케이션에 대한 메시지 서명을 중단하겠다고 발표한 점을 지적했는데, 켈프는 이러한 조치가 시스템 취약점을 인정한 간접적인 증거라고 생각했다.
레이어제로 측은 이번 취약점이 켈프의 rsETH 애플리케이션에만 국한되었으며, 켈프가 다중 인증 방식을 권장하는 대신 단일 인증 모델만 채택한 데서 비롯되었다고 반박했습니다. 그러나 레이어제로는 아직 이번 의혹에 대한 공식적인 입장을 발표하지 않았습니다.
이번 사건의 법적 파장은 점점 더 복잡해지고 있습니다. 아비트럼(Arbitrum) 네트워크에서 약 7,100만 달러 상당의 관련 암호화폐 자산이 동결되면서 뉴욕 연방 법원에 소송이 제기되었고, 이는 일반적으로 오픈 소스 공간에 국한되던 기술적 분쟁이 전통적인 사법 시스템으로 들어오는 계기가 되었습니다. 대부분의 분쟁이 내부적으로 또는 분산형 거버넌스 메커니즘을 통해 처리되는 DeFi 업계에서 이러한 현상은 매우 이례적입니다.
이에 대해 Kelp는 전체 rsETH 시스템을 Chainlink의 CCIP(Cross-Chain Interoperability Protocol)로 이전하고 있다고 밝혔습니다. CCIP에서는 모든 거래가 여러 독립적인 검증자의 승인을 받아야 합니다. Chainlink의 최고사업책임자(CBO)인 Johann Eid는 이러한 전환을 지원할 것이라고 확인하면서, 강력한 보안 인프라는 DeFi가 수조 달러 규모의 자산을 블록체인에 연동시키기 위한 필수 조건이라고 강조했습니다.
켈프의 이번 결정은 업계에서 점점 확산되고 있는 추세를 반영합니다. 주요 사고가 발생할 때마다 보안에 대한 약속보다는 독립적으로 검증 가능한 시스템 아키텍처에 대한 신뢰가 더욱 중요해지고 있다는 것입니다.
