리스테이킹 프로토콜 켈프다오(Kelp DAO)에서 약 2억 9000만 달러(약 4300억 원) 규모 해킹이 발생하며 탈중앙화금융(DeFi·디파이) 시장 전반에 불안감이 확산되고 있다. 리스테이킹은 이용자가 예치(스테이킹)한 가상화폐를 담보 등으로 재활용해 수익을 내는 구조를 말한다. 올해 최대 규모의 해킹 사건이 디파이에서 발생하면서 차세대 금융으로서의 신뢰도에도 타격이 불가피해 보인다.

20일 가상화폐 업계에 따르면 공격자는 레이어제로 기반 크로스체인 브릿지를 악용해 rsETH 11만 6500개를 18일(현지시간) 탈취했다. 약 2억 9200만 달러 규모로 전체 물량의 약 18%에 해당한다. rsETH는 이용자가 켈프다오에 stETH나 ETHx 같은 이더리움 리퀴드 스테이킹 토큰을 예치하면 받을 수 있는 일종의 영수증 토큰이다. 디파이에서 담보 등으로 활용된다.

이번 공격은 체인 간 자산 이동을 검증하는 과정에서 발생했다. 서로 다른 블록체인 간에는 자산을 직접 옮길 수 없어, 한쪽에서 이동이 발생했다는 신호를 다른 네트워크에 전달해 이를 검증하는 구조를 사용한다. 레이어제로는 이러한 크로스체인 기능을 제공한다. 공격자는 이 과정에서 전달되는 정보를 조작해 실제 이동이 없었음에도 자산이 이동한 것처럼 시스템을 인식하도록 만들었다. 그 결과 브릿지에 보관돼 있던 rsETH가 공격자 주소로 전송됐다.

문제는 rsETH가 20개 이상의 블록체인에서 발행·유통되는 구조라는 점이다. 이번 유출로 레이어2에서 유통되는 rsETH의 담보 건전성에 대한 의문이 제기됐고, 아베·스파크렌드·플루이드 등 주요 디파이 프로토콜은 rsETH 관련 대출과 거래 기능을 중단하며 리스크 확산 차단에 나섰다.

가상화폐 전문매체 코인데스크는 이번 공격에 대해 “크로스체인 인프라와 리스테이킹 모델, 대출 시장에 동시에 영향을 미친 사안”이라며 “올해 들어 최대 규모 해킹 중 하나”라고 진단했다.

레이어제로는 이번 사태가 프로토콜 자체 결함이 아닌 켈프다오의 설정 문제에서 비롯됐다고 이날 밝혔다. 검증 과정이 일부 노드에 의존하는 구조로 설계되면서 보안 취약성이 발생했다는 설명이다.

레이어제로에 따르면 공격자는 일부 RPC 노드를 장악하고, 나머지 노드의 정상 검증을 방해해 시스템이 특정 정보에 의존하도록 만들었다. 이어 가짜 메시지를 정상으로 인식하게 했다. 레이어제로는 사전에 복수 검증 구조 도입을 권고했지만 반영되지 않았다고 밝혔다. 향후 단일 검증 구조를 사용하는 프로젝트에 대해서는 지원을 중단할 방침이다. 또 이번 사건이 다른 서비스로 확산된 정황은 없다고 덧붙였다.

한편 레이어제로는 이번 공격의 배후를 북한 래킹 조직 라사루스 그룹으로 추정했다. 이들은 이달 초 드리프트 해킹에도 연루된 것으로 알려졌다.