Kelp DAO의 2억 9,200만 달러 규모 익스플로잇(취약점 공격)은 암호화폐 업계 전반에 파장을 일으켰으며, 개발자와 트레이더들은 이번 사건이 탈중앙화 금융(DeFi) 구축 방식의 근본적인 결함을 드러냈다고 경고하고 있습니다.
시장 참여자들이 공유한 데이터에 따르면, 즉각적인 여파는 해킹된 프로토콜을 훨씬 넘어 확산되었습니다.
"rsETH 해킹으로 인해 솔라나 및 영향을 받지 않은 프로토콜을 포함한 모든 대출 프로토콜에서 출금이 발생하고 있다"고 0xngmi는 일요일 게시물에서 밝혔습니다. 그는 "Aave: -62억 달러(-23%) 순유입"을 포함한 급격한 자금 유출과 Morpho, Sky, JupLend 전반의 눈에 띄는 감소를 지적했습니다. rsETH는 유동성 재스테이킹 프로토콜인 Kelp DAO의 재스테이킹된 이더리움이며, 사용자가 자산을 스테이킹에 묶어둔 상태에서도 유동성을 유지하면서 이더리움 스테이킹 및 재스테이킹 보상을 받을 수 있게 해주는 유동성 재스테이킹 토큰(LRT)입니다.
이러한 압박은 빠르게 더 심각한 상황으로 변했습니다. 널리 공유된 Josu San Martin의 게시물은 대출 시장 내의 연쇄적인 유동성 스트레스를 다음과 같이 설명했습니다. "ETH 예치자들이 ETH를 출금할 수 없게 되자 자금을 '출금'하기 위해 스테이블코인을 빌리고 있다... 이것은 AAVE에 대한 본격적인 뱅크런이다."
Aave의 설립자인 Stani Kulechov는 이번 익스플로잇이 외부적인 것이며 프로토콜의 컨트랙트는 침해되지 않았다고 밝혔지만, 예치자들은 공황에 빠졌습니다. DefiLlama에 따르면, 총 예치 자산(TVL)은 4월 18일 264억 달러에서 일요일 미국 오전 시간대에 거의 200억 달러로 급감했습니다. AAVE 토큰 또한 예치자들이 주말 동안 자금을 회수하기 위해 서두르면서 18% 이상 하락했습니다.
이번 익스플로잇 자체는 엔지니어와 개발자들에게 집중적인 분석 대상이 되었습니다.
여러 개발자들은 이번 문제가 핵심 인프라에서 비롯되었다는 초기 추측에 반박했습니다. cryptogoblin의 기술적 분석에 따르면 "KelpDAO 익스플로잇(약 2억 9,000만 달러)은 LayerZero 프로토콜의 버그가 아닙니다. 이는 설정(configuration) 문제이며 크로스체인 토큰을 보유한 모든 프로젝트가 오늘날 반드시 살펴봐야 할 사례 연구입니다"라고 전했습니다.
해당 스레드는 단일 검증 지점이 어떻게 공격을 가능하게 했는지 상세히 설명했습니다. 게시물은 "단 하나의 서명으로 116,500 rsETH가 이더리움 상에서 허공에서 만들어졌다"며, "[스마트] 컨트랙트가 고장 난 것이 아니라 검증 레이어가 고장 난 것"이라고 주장했습니다.
다른 이들은 문제가 단순한 설정 선택보다 더 깊은 곳에 있다고 주장했습니다.
X의 Fishy Catfish라는 사용자는 이를 설계상의 결함으로 규정하며 다음과 같이 주장했습니다. "보안 하한선이 없다... 설정이 1/1 DVN이 될 수 있고, 당신이 선택한 DVN은 단일 개체가 운영하는 단일 노드일 수 있다." DeFi에서, 특히 LayerZero V2 내의 DVN(탈중앙화 검증인 네트워크)은 서로 다른 블록체인 네트워크 간에 전송되는 메시지의 진위 여부를 확인하고 증명하는 독립적인 개체입니다. 기본적으로 DVN은 소스 체인과 목적지 체인 사이의 메시지 해시를 검증합니다.
저자는 이해를 돕기 위해 현실 세계의 비유를 들었습니다. "롤러코스터 제조업체가 놀이공원마다 최소 안전 사양을 개별적으로 결정할 수 있게 허용했다고 상상해 보십시오."