이 기사는 디지털자산 전문 매체 <디지털애셋>에서 작성했습니다. 

 

이번 사고는 켈프다오에서 발생했지만 서로 다른 블록체인 네트워크들을 연결하는 브릿지 프로젝트와 탈중앙화 대출 플랫폼 등에 영향을 미치면서 전체 디파이 생태계에 타격을 입혔습니다. 문제는 이번 사고가 디파이의 탈중앙화 신뢰 구조를 흔들었다는 점입니다. 켈프다오는 이더리움 리스테이킹 생태계에서 rsETH라는 유동성 리스테이킹 토큰을 발행하는 프로젝트입니다. 이용자는 ETH(이더리움)를 예치하고 rsETH를 받아 다른 디파이 서비스에서 담보나 유동성 자산으로 활용할 수 있습니다. 그런데 공격자는 켈프다오가 이용하는 브릿지 프로젝트 레이어제로 기반 브릿지를 악용해 약 11만6500개의 rsETH를 무단 발행해 자금을 외부로 유출했습니다.

 

 

지난 20일 레이어제로는 X에 “북한 해킹 조직 라자루스로 추정되는 공격자가 우리의 탈중앙검증자네트워크(DVN)가 거래를 확인할 때 활용하던 하위 RPC 인프라를 조작했다”며 “이후 정상 RPC에는 디도스(DDoS) 공격을 가해 장애 조치가 조작된 RPC로 넘어가게 만들었고 그 결과 실제로 발생하지 않은 거래가 검증된 것처럼 처리됐다”고 설명했습니다. 또 “이번 사고가 켈프다오의 rsETH 설정에 한정됐고 다른 자산이나 애플리케이션으로 전염되지는 않았다”고 덧붙였습니다.

 

논란이 된 대목은 켈프다오가 단일 DVN 구조를 사용했다는 점입니다. 레이어제로는 통합 프로젝트들에 여러 독립 검증자를 조합하는 다중 DVN 구조를 권장해왔다고 밝혔습니다. 하지만 켈프다오는 사고 당시 레이어제로 DVN 하나에 의존하는 ‘1-of-1’ 설정을 사용했습니다. 검증자가 하나뿐이면 그 검증 경로가 조작됐을 때 이를 독립적으로 걸러낼 장치가 부족합니다. 레이어제로는 이런 구조가 단일 실패 지점을 만들었다고 지적했습니다.

 

하지만 켈프다오는 레이어제로의 주장을 반박했습니다. 켈프다오는 지난달 21일 X에 “문제의 ‘1-of-1’ DVN 설정은 예외적인 선택이 아니라 레이어제로 문서와 배포 예시에서 기본값처럼 제시된 구조였다”고 주장했습니다. 레이어제로와 켈프다오가 이번 사고 책임을 서로에게 떠넘기고 있는 셈입니다.

 

피해는 켈프다오 내부에만 머물지 않았습니다. 공격자는 무단 발행한 rsETH를 아베 등 주요 디파이 대출 플랫폼에 담보로 넣고 ETH 등 유동성 자산을 빌렸습니다. 이 과정에서 아베에 2억달러(약2960억원)가 넘는 부실채권이 남았습니다. 아베 자체 스마트계약이 직접 해킹된 것은 아니었지만 외부 담보 자산인 rsETH가 무너지는 과정에서 플랫폼이 피해를 입은 것입니다.

 

 

아베는 이번 사고로 디파이 대출 플랫폼이 안고 있는 구조적 위험을 노출했습니다. 대출 플랫폼은 담보 가치와 청산 시스템이 정상적으로 작동한다는 전제 위에서 운영됩니다. 하지만 담보로 들어온 자산이 브릿지 해킹으로 만들어진 부실자산이라면 이야기가 달라집니다. 겉으로는 담보가 있는 정상 대출처럼 보이지만, 실제로는 담보의 경제적 가치가 무너져 플랫폼에 손실이 남을 수 있습니다. 이번 사고는 대형 대출 플랫폼도 외부 자산의 발행 구조, 브릿지 구조, 검증자 리스크를 함께 관리해야 한다는 점을 보여줬습니다.

 

이번 사고의 수습을 위해 디파이 업계는 아베 주도로 공동 복구기금 성격의 ‘디파이 유나이티드’를 결성했습니다. 디파이 유나이티드는 여러 프로토콜과 참여자들이 기부한 이더리움을 활용해 rsETH의 담보를 회복하고 피해 이용자들이 자산을 돌려받을 수 있도록 하는 복구안을 제시했습니다. 지난 30일 기준 복구기금 조성은 피해액을 넘어섰습니다. 이날 디파이 유나이티드 웹사이트를 보면, 약 13만7610ETH가 모금됐습니다. 이 모금액은 달러 기준 3억715만달러(약 4550억원)로 해킹 피해액 2억9000만달러를 약 6% 상회한 것입니다. 주요 기부자는 이더리움 레이어2 네트워크 아비트럼, 이더리움 인프라 기업 컨센시스와 회사 창립자 조셉 루빈, 레이어2 프로젝트 맨틀, 아베와 회사 창립자 스타니 쿨레초프, 리스테이킹 프로토콜 이더파이, 레이어제로, 이더리움 유동성 스테이킹 프로젝트 리도, 탈중앙화 스토리지 프로젝트 골렘 등입니다. 다만 모금액 중 일부는 다오(DAO, 탈중앙화자율조직) 투표와 아비트럼 동결자금 해제 절차 등이 남아 있어 보상은 단계적으로 이뤄질 것으로 보입니다. 결과적으로 생태계 주요 관계자들의 기부 행렬로 이번 사고가 봉합되고 있는 모양새입니다.

  

 

그러나 피해를 복구해도 이번 사고로 인한 디파이 신뢰 훼손을 회복하는 데는 시간이 소요될 것이라는 전문가들의 지적이 나옵니다. 이번 사고 수습 과정에서 아베는 rsETH를 동결했고 아비트럼 보안위원회는 해커 자금 약 3만766ETH를 동결했습니다. 피해 확산을 막기 위한 긴급 조치였지만, 동시에 디파이가 강조해온 탈중앙성에 의문을 남겼습니다. 모종우 언디파인드랩스 공동창업자는 30일 “이번 사고로 위기 때 특정 위원회나 거버넌스가 자금을 동결할 수 있다면 디파이가 기존 금융과 무엇이 다른지에 대한 회의적 시선이 증가한 것 같다”며 “앞으로 해킹 사건 등 이례적인 상황에 대한 탈중앙화 거버넌스 체계를 커뮤니티가 더 진지하게 논의할 필요가 있다”고 <디지털애셋>에 설명했습니다.

 

인공지능(AI)를 활용한 디파이 해킹이 고도화되고 있다는 것도 문제로 지적됩니다. 전문가들은 AI가 취약점 탐색, 악성코드 작성, 피싱, 사회공학적 공격을 더 빠르고 정교하게 만들고 있다고 보고 있습니다. 베레나 로스 유럽증권시장감독청(ESMA) 의장은 지난달 24일 “AI가 금융권 사이버공격의 위험과 속도를 높일 수 있다”고 경고했습니다. 미국 보안 전문 매체 와이어드는 지난달 22일 북한 해킹 조직이 AI를 이용해 악성코드를 작성하고 피싱용 가짜 회사 웹사이트를 만드는 등 디지털자산 탈취를 고도화한 사례를 전했습니다. 송창석 블롭 웹3 디렉터는 <디지털애셋>에 “결국 디파이가 신뢰를 회복하려면 사후 기부나 동결 조치에 의존하는 데 그쳐서는 안 된다”며 “단일 검증자 구조를 줄이고 브릿지·RPC·오라클 같은 핵심 인프라를 상시 점검해 공격 자동화에 맞서는 AI 기반 이상거래 탐지와 실시간 차단 체계를 갖춰야 한다”고 <디지털애셋>에 말했습니다.

 

박상혁 기자 seminomad@digitalasset.works