ETHSecurity 커뮤니티 텔레그램 그룹에서 레이어제로(LayerZero)의 공동 창립자 겸 CEO인 브라이언 펠레그리노와 보안 연구원들 사이에 열띤 논쟁이 벌어졌습니다. 논쟁의 핵심은 레이어제로 랩스가 타임락 없이 업그레이드할 수 있는 기본 라이브러리 계약으로, 이로 인해 30억 달러 이상의 레이어제로 옴니체인 대체 가능(fungible) 토큰(LZ OFT)이 최근 rsETH 해킹 사건과 유사한 방식으로 위험에 노출될 수 있다는 점이었습니다.
Spark: 취약한 기본 라이브러리가 노출되었습니다
보안 연구원은 레이어제로의 기본 라이브러리 계약이 타임락과 같은 지연 메커니즘 없이 즉시 업그레이드를 가능하게 한다는 점을 지적했습니다. 이러한 설정을 통해 팀 구성원들은 공격자들이 검증을 위조하여 자금을 빼돌린 rsETH 취약점을 모방하는 크로스체인 메시지를 생성할 수 있었습니다.
연구원 반테그에 따르면, 에테나(Ethena)와 이더파이(EtherFi) 같은 프로젝트들은 불과 몇 주 전까지만 해도 이 기본 라이브러리를 사용하고 있었습니다. 온체인 데이터에 따르면, 레이어제로 랩스(LayerZero Labs)의 제어권이 악용될 경우, 다양한 프로젝트에서 총 1억 7,800만 달러 상당의 가치가 이러한 위험에 노출될 수 있습니다.
Yearn 개발자 Banteg는 많은 프로토콜이 여전히 LayerZero의 기본 3-of-5 멀티시그 설정에 위험할 정도로 의존하고 있다고 경고하면서 이 문제를 더욱 악화시켰습니다. 그는 더 강력한 보호 조치 없이 기본 수신 라이브러리에 의존하는 프로젝트는 불필요한 위험에 노출되는 것이라고 주장했습니다. LayerZero의 멀티시그가 손상될 경우 공격자가 연결된 어댑터의 리소스를 즉시 고갈시킬 수 있기 때문입니다.
Kelp 취약점 공격 이후, Banteg는 취약한 어댑터로 인해 발생할 수 있는 잠재적 손실액을 초기에는 약 31억 3천만 달러로 추산했지만, 일부 프로젝트에서 구성 강화 조치를 취한 후 이 수치는 크게 감소했습니다.
이러한 진전에도 불구하고 그는 여전히 많은 프로토콜이 취약한 상태라고 강조했습니다. 반테그는 이러한 통합의 보안에 대한 정확한 기술 지침을 발표함으로써 논의를 이론에서 실질적인 위험으로 전환시켰고, 레이어제로의 중앙 집중식 의존성에 대한 우려를 다시 불러일으켰습니다.
LayerZero는 악의적인 의도가 없더라도 위험이 발생할 수 있으며, 시스템이 침해될 경우 모든 종속 프로젝트에 대한 공급망 공격으로 이어질 수 있습니다. 이는 LayerZero의 Endpoint 및 UltraLightNode 계약에서 유사한 신뢰 구성 요소 위험이 지적된 과거 감사 결과와 일맥상통합니다.
다중 서명자가 고위험 활동에 연루됨
온체인 증거에 따르면, 수십억 달러 규모의 자산을 보호하기 위해 개발된 레이어제로 랩스의 멀티시그 서명 도구가 위험한 개인적 활동에 사용된 것으로 드러났습니다. 이러한 활동에는 유니스왑(Uniswap) 에서 맥페스(PEPES)라는 밈코인을 거래하거나, 탈중앙화 거래소(DEX) 거래소(DEX)에서 스왑을 하거나, 자산을 연결하여 피싱 사이트에 키를 노출하는 행위 등이 포함됩니다.
체인링크(Chainlink) 커뮤니티의 주요 인물인 잭 라인스는 X(이전 트위터)에서 이 문제를 지적했습니다. 그는 이를 기본적인 보안 조치와 키 격리의 완전한 실패라고 규정하며 공급망 공격에 대한 우려를 제기했습니다.
레이어제로의 브라이언은 " $ 페페(PEPE) 토큰의 OFT 통합을 테스트 중이었다"고 주장했지만, 비평가들은 $ 페페(PEPE) 자체가 아직 배포되지도 않았으며, McPepes는 완전히 다른 토큰이라고 지적했습니다. 이러한 부실한 운영 키 관리 방식은 과거 북한 해킹 사건의 원인이기도 하며, 당시 라자루스 그룹은 손상된 RCP를 통해 레이어제로를 공격했습니다.
레이어제로의 보안 문제 이력
레이어제로 랩스는 보안 허점으로 인해 반복적으로 조사를 받아왔습니다. 북한 해커들은 켈프DAO rsETH 취약점을 이용해 RPC 데이터를 위조하여 2억 9천만 달러에서 2억 9천2백만 달러를 탈취했는데, 레이어제로 랩스는 이를 켈프의 단일 DVN 설정 때문이라고 주장했습니다.
제로밸리데이션(ZeroValidation)과 같은 과거 보고서는 적절한 서명 없이 임의의 메시지를 주고받을 수 있도록 하는 멀티시그 취약점을 자세히 설명했으며, 이러한 취약점을 다른 플랫폼으로 이전하는 프로젝트들은 이를 중앙 집중식 위험이 사용자 자금으로 확산되는 징후로 지적합니다.
rsETH 해킹 사건은 취약한 설정이 얼마나 위험을 증폭시키는지 보여주었으며, LayerZero는 이 사건 이후 싱글스 검증 앱에 대한 서명 기능을 중단했습니다. 비평가들은 기본 설정이 명확한 경고 없이 사용자를 위험한 경로로 몰아넣는다고 주장합니다.
브라이언 대 연구원들: 텔레그램에서의 충돌
ETHSecurity 텔레그램 토론에서 브라이언은 레이어제로를 옹호했지만, 연구원들은 라이브러리 위험성과 멀티시그 오용 문제를 제기하며 반박했습니다. 특히 북한 해킹 사건 이후 탈중앙화 거래소(DEX) 및 밈코인 거래와 연결된 운영 키는 피싱 공격에 매우 취약하다고 강조했습니다. 브라이언은 일부 주장을 일축했지만, 연구원들은 공정거래청(OFT)의 30억 달러 이상 규모의 손실 가능성을 강조했습니다.
인플루언서 반발과 프로젝트 변경
또 다른 암호화폐 인플루언서인 에드는 X에 글을 올려 프로토콜 옹호자들이 중요한 문제, 즉 자체 중앙 집중식 인프라가 이미 손상되었다는 사실을 간과했다고 주장했습니다.
KelpDAO는 4월 18일 LayerZero 관련 공격 이후 인프라 보안 및 해결되지 않은 생태계 문제에 대한 우려로 인해 rsETH를 체인링크(Chainlink) CCIP로 이전한다고 발표했습니다.
Solv 프로토콜은 이제 훨씬 더 큰 변화를 맞이하고 있습니다. 보안 검토를 마친 후, 7억 달러 이상의 SolvBTC 및 xSolvBTC 생태계를 LayerZero 브리지에서 다른 곳으로 이전하고 있습니다.
이러한 연이은 마이그레이션은 주요 프로토콜들이 더욱 강력한 보안 보장, 사전 예방적 모니터링 및 기관급 크로스체인 인프라를 우선시함에 따라 업계에서 일어나고 있는 변화를 보여줍니다.
이러한 자산 이동은 더욱 안전한 크로스체인 솔루션에 대한 선호도가 높아지고 있음을 시사하며, 체인링크(Chainlink) 거의 10억 달러에 달하는 자산을 확보했습니다. Yearn의 Banteg와 Zach Rynes와 같은 업계 전문가들은 레이어제로에 대한 우려를 표명하며 더욱 강력한 보안 표준을 요구했습니다.
크로스체인 보안에 대한 더 광범위한 함의
레이어제로의 OFT(옴니체인 대체 가능(fungible) 토큰) 표준은 토큰을 한 체인에서 소각하고 다른 체인에서 다시 생성하는 소각-발행 시스템을 통해 수십억 달러 규모의 크로스체인 토큰 전송을 지원합니다. 이 모델은 많은 프로젝트가 블록체인 간에 확장하는 데 도움이 되었지만, 기본 보안 설정에 심각한 우려가 제기되고 있습니다.
많은 경우, 보안은 LayerZero Labs의 멀티시그 인프라에 크게 의존하며, 이는 소수의 키 보유자가 핵심 운영을 제어할 수 있음을 의미합니다. 이러한 키가 노출되거나 내부 시스템이 손상될 경우, 사용자 자금과 프로토콜 보안이 위험에 처할 수 있습니다.
보안 전문가들은 또한 LayerZero의 일부 라이브러리가 강력한 업그레이드 보호 기능이나 분산형 보안 장치가 부족하여 모듈형 브리지 설계에 대한 신뢰도가 약화된다고 지적했습니다.
그 결과, 여러 프로젝트들이 레이어제로에 대한 의존도를 재고하고 있으며, 점점 더 안전하다고 여겨지는 체인링크(Chainlink) CCIP와 같은 대안으로 눈을 돌리고 있습니다.
이러한 변화는 암호화폐 업계에 더 큰 교훈을 줍니다. 강력한 코드만으로는 충분하지 않다는 것입니다. 프로토콜은 타임록, 격리된 키 관리, 기본적으로 여러 독립 검증자를 포함하는 더 나은 운영 보안도 필요로 합니다.
사용자에게 있어 진정한 위험은 스마트 계약의 버그뿐만 아니라, 배후의 중앙 집중식 인프라와 부실한 보안 관행에서 비롯되는 경우가 많습니다.
