레이어제로(LayerZero)는 켈프 DAO 해킹 사건에 대한 반응 이후 공식 사과문을 발표했습니다.

레이어제로(LayerZero)는 4월 18일 해킹 사건 이후 약 2억 9200만 달러 상당의 rsETH가 켈프 DAO 크로스체인 브리지에서 인출된 사태에 대한 대응과 관련하여 공식 사과를 발표했습니다. 이번 조치는 레이어제로가 이전에 시스템이 "설계대로 작동했다"고 주장했던 것과는 확연히 달라진 태도를 보여줍니다.

LayerZero는 자사 블로그에 게시하고 X에도 재게시 한 블로그 글 에서 지난 몇 주간의 소통 부족을 인정했습니다. 회사 측은 상세한 보고서를 작성하는 데 너무 집중했지만, 처음부터 솔직하고 명확하게 소통했어야 했다고 밝혔습니다.

원인과 관련하여 레이어제로는 자사 검증 네트워크에서 사용하는 데이터 인프라의 일부가 북한의 라자루스 해킹 그룹에 의해 침투당했다고 밝혔습니다. 구체적으로, 내부 "RPC 노드"의 데이터가 위조되었습니다. 동시에 해커들은 외부 RPC 제공업체에 대한 DDoS 공격을 감행하여 검증 시스템이 손상된 데이터에 더욱 의존하게 만들었고, 결과적으로 실제로 발생하지 않은 거래에도 "서명"을 하게 되었습니다. 레이어제로는 앞서 이 사건을 라자루스 그룹의 트레이더트레이터(TraderTraitor)라는 조직 소행으로 지목한 바 있습니다.

이번 성명에서 가장 주목할 만한 점은 레이어제로가 그동안 회피해왔던 책임을 공개적으로 인정했다는 것입니다. 레이어제로는 고액 거래에서 DVN(레이어제로의 탈중앙화 검증 네트워크)을 "단독 검증자"로 운영하도록 허용해서는 안 됐다고 인정했습니다. 레이어제로는 프로젝트들이 자체적인 보안 설정을 선택해야 한다고 생각하지만, 고위험 상황에서 DVN을 "일대일" 방식(단일 당사자 검증)으로 운영하도록 허용한 것은 잘못이었다고 시인했습니다. 다시 말해, DVN이 보호하는 대상을 제대로 모니터링하지 않아 인지하지 못한 "취약점"을 만들어냈다는 것입니다.

이러한 인정은 LayerZero가 처음에 Kelp DAO가 "일방적 검증만" 구성을 선택한 것을 거의 비난하며 그것이 비효율적인 선택이라고 주장했던 것과 모순됩니다.

Kelp DAO는 이후 LayerZero 자체 문서와 초기 가이드에 따르면 프로젝트 통합 시 일방 검증이 기본 설정이라고 반박했습니다. 또한 Kelp는 Dune 분석 결과를 인용하여 공격 당시 LayerZero에서 실행 중인 약 2,665개의 애플리케이션(OApp) 중 약 47%가 동일한 구성을 사용하고 있었다고 밝혔습니다.

레이어제로 측은 이번 사건이 단 하나의 애플리케이션에만 영향을 미쳤으며, 이는 네트워크상 전체 애플리케이션의 약 0.14%, 레이어제로를 통해 거래되는 총 자산 가치의 약 0.36%에 해당한다고 밝혔습니다. 또한, 4월 19일 이후에도 90억 달러 이상이 해당 프로토콜을 통해 지속적으로 이체되었다고 덧붙였습니다.