레이어제로(LayerZero)는 금요일 미국 시간 늦게, 취약한 구성으로 고가 암호화 자산을 보호하도록 자체 검증 인프라를 허용한 것은 "실수"였다고 밝혔습니다. 이는 북한 해커와 연관된 2억 9200만 달러 규모의 해킹 사건에 대해 개발사 켈프 분산형 자율 조직(DAO) (Kelp DAO)를 비난해 온 몇 주간의 행보에서 눈에 띄게 달라진 모습입니다.
이번 인정은 지난 4월 해킹 사건에 대한 책임 소재를 두고 레이어제로와 켈프가 몇 주 동안 공개적으로 공방을 벌인 후 나온 주목할 만한 변화입니다. 레이어제로는 당초 이 해킹 사건을 켈프의 애플리케이션 수준 구성 오류 탓으로 돌렸습니다.
"우선, 늦었지만 사과부터 드리겠습니다." 레이어제로(LayerZero)는 금요일에 게시된 블로그 글에서 이렇게 밝혔습니다.
레이어제로(LayerZero)는 처음에 켈프(Kelp) 프로토콜을 비난하며, 해당 프로토콜이 위험한 "1-of-1" 구성을 선택했다고 주장했습니다. 이 구성에서는 단일 분산 검증 네트워크(DVN)만으로 블록체인 간 자산 전송을 승인할 수 있어 단일 실패 지점이 발생한다는 것입니다. DVN은 블록체인 간 자산 이동 거래의 적법성을 검증하는 인프라의 일부입니다.
"고가 거래에서 DVN이 1:1 DVN 역할을 하도록 허용한 것은 실수였습니다."라고 회사는 밝혔습니다. "DVN이 어떤 거래를 보호하는지 제대로 관리하지 않아 미처 인지하지 못했던 위험이 발생했습니다. 이에 대한 책임은 저희에게 있습니다."
이에 대응하여 LayerZero Labs는 자사의 DVN이 더 이상 1/1 DVN 구성을 지원하지 않을 것이라고 밝혔습니다. 또한, "모든 경로의 모든 기본 설정이 가능한 경우 5/5로, DVN이 3개만 사용 가능한 체인의 경우 최소 3/3으로 마이그레이션될 예정"이라고 블로그에서 언급했습니다.
크로스체인 브리지는 서로 분리된 블록체인 네트워크 사이를 연결하는 디지털 전송 레일과 같은 역할을 하지만, 오랫동안 암호화폐 인프라에서 가장 취약한 부분 중 하나로 여겨져 왔습니다.
LayerZero는 자사의 기본 프로토콜이 손상되지 않았다고 주장했으며, 개발자들이 궁극적으로 보안 설정을 구성해야 할 책임이 있다는 점을 재차 강조했습니다.
회사 측은 "레이어제로 프로토콜은 영향을 받지 않았다"며, 이번 공격은 레이어제로 랩스 DVN에서 사용하는 내부 RPC 인프라에 대한 공격 때문이며, 동시에 외부 RPC 제공업체들은 분산 서비스 거부 공격(DDoS)을 받았다고 밝혔습니다.
또한 Layer Zero는 3년 반 전에 자사의 멀티시그 서명자 중 한 명이 개인 하드웨어 지갑을 이용해 개인적인 거래를 시도한 사례가 있다고 밝혔습니다. Layer Zero는 이러한 행위에 대해 조치를 취하고 있으며, "이는 명백히 용납될 수 없는 일"이라고 강조했습니다.
"해당 서명자는 멀티시그에서 제외되었고, 지갑이 교체되었으며, 이후 서명 장치 관련 보안 관행을 업데이트하고, 각 장치에 로컬 이상 탐지 소프트웨어를 추가하고, OneSig라는 맞춤형 멀티시그를 개발했습니다."
체인링크(Chainlink) 포함한 경쟁업체들은 이러한 여파를 이용하여 보안 제공업체를 재고하는 프로토콜들을 대상으로 사업을 확장하고 있습니다.
Kelp는 이미 rsETH 브리지를 Chainlink의 경쟁사인 크로스체인 상호운용성 프로토콜(CII)로 이전했으며, Solv Protocol은 이번 주 새로운 보안 검토 후 7억 달러 이상의 토큰화된 비트코인 인프라를 LayerZero에서 다른 곳으로 이전하고 있다고 밝혔습니다.
