미국과 이란의 휴전 시기가 맞물린 지난 주말, 디지털 자산 시장에서 무려 4000억원에 해당하는 코인이 순식간에 사라지는 사건이 발생했습니다. 피해를 입은 주체는 이더리움 기반의 금융 서비스 플랫폼인 Kelp DAO입니다. 이번 공격에서 해커는 불과 46분 만에 코인을 탈취하고, Kelp 팀이 시스템을 동결하기 전 이미 탈중앙화 금융 시스템을 통해 이 자산을 실제 자산으로 전환해 버린 것입니다. 이 사건은 에이브(AAVE)와 같은 다른 탈중앙화 금융 서비스에도 중대한 파장을 일으켰습니다.
이번 해킹 사건은 특히 탈중앙화 금융과 블록체인 간 자산 이체의 브릿지에 대한 경각심을 되새기는 계기가 되었습니다. 스마트 컨트랙트로 연이어 연결된 탈중앙화 금융 구조에서 하나의 취약점이 생기면 다른 서비스에도 연쇄 영향을 미치는 것으로 나타나, 이러한 시스템이 얼마나 취약한지를 명확하게 드러내었습니다. 해킹의 메커니즘을 살펴보면, Kelp DAO는 사용자가 이더리움을 맡기면 영수증 토큰인 rsETH를 발행하고 이자 수익을 제공합니다. 이런 시스템은 기존 은행의 예금과 유사하나, 탈중앙화 금융에서는 영수증 토큰을 다른 서비스의 담보로 활용할 수 있습니다.
여기서 중요한 연결 고리인 레이어제로가 존재합니다. 레이어제로는 서로 다른 블록체인 네트워크를 연결하는 인프라로 작용하는데, 공격자는 검증자(DVN)를 타겟으로 삼았습니다. 해커들은 블록체인 네트워크 내에서 무작위로 여러 노드에 대한 공격을 감행해 무력화한 후, 미리 설치한 악성 소프트웨어에 의해 두 개의 노드만 작동하도록 조작했습니다. 이 노드들은 검증자에게 허위 정보를 전달하여 결과적으로 11만6500개의 rsETH를 빼내는 데 성공했습니다. 이후 이 토큰들을 에이브에 담보로 활용해 1억9000만 달러에 달하는 원화 교환을 받았습니다. 즉, 에이브는 가치가 없는 허위 담보로 인해 부실 대출을 안게 되었습니다.
현재 상황은 상당히 심각합니다. 최근 데이터에 따르면, 탈취된 자산 중 일부는 이더리움의 레이어2인 아비트럼에서 성공적으로 동결되었으나, 나머지는 다양한 네트워크를 통해 암호화폐 세탁이 진행되고 있습니다. 전문가들은 이 세탁 방식이 북한과 관련된 해킹 조직인 라자루스 그룹의 수법과 유사하다고 지적하고 있습니다. 특히, 에이브는 대규모 부실 대출로 인한 우려로 84억5000만 달러의 자산이 단 이틀 만에 이탈하며, 전체 탈중앙화 금융 예치 자산이 132억 달러 이상 감소했습니다. 에이브의 토큰 가격은 하루 만에 20% 가까이 폭락했습니다.
Kelp DAO 해킹 사건은 세 가지 주요 시사점을 제공합니다. 첫째, 검증되지 않은 연결은 점점 더 위험해질 수 있음을 강조합니다. 탈중앙화 금융의 장점이 서로 다른 서비스들이 유기적으로 연결되는 것이라면, 이번 사건은 그 연결이 최악의 약점이 될 수 있음을 증명했습니다. 둘째, 스마트 컨트랙트 코드뿐만 아니라 네트워크 인프라도 공격의 대상이 될 수 있다는 점입니다. Kelp DAO는 스마트 컨트랙트 코드에 취약점이 없었지만, 브릿지의 검증 인프라에서 문제가 발생한 것입니다. 셋째, 해킹 피해가 일반 사용자에게도 무차별적으로 영향을 미친다는 점에서, 법적 규제와 제도적 보장의 필요성이 더욱 강조됩니다. 현재 탈중앙화 금융에는 법적 보호가 부족하여 예치금에 대한 보상을 기대하기 어렵습니다.
결론적으로, Kelp DAO 해킹 사건은 디지털 자산 생태계에서 보안 문제의 심각성을 일깨우는 사건으로, 향후 법적 및 기술적 보안을 더욱 강화해야 함을 시사합니다.
