북한의 해킹 조직 라자루스 그룹이 켈프다오(Kelp DAO)의 탈중앙화 금융(디파이) 프로토콜을 목표로 삼아 약 3900억원에 해당하는 가상자산을 탈취하는 사건이 발생했다. 이번 해킹 사건은 4월 18일 발생했으며, 다수의 주소를 사용해 총 11만6500 rsETH를 빼앗아 갔다. 이는 올해 디파이 분야에서 발생한 해킹 중 최대 규모로, rsETH의 유통량의 약 18%에 해당하는 양이다.

특히 이번 사건은 전통적인 스마트 계약의 취약점을 악용한 것이 아니라, 크로스체인 브리지의 오프체인 인프라를 겨냥한 새로운 수법으로 이목을 끌고 있다. 블록체인 데이터 분석 회사 체이널리시스(Chainalysis)에 따르면, 해커들은 Kelp DAO의 레이어제로(LayerZero) 브리지를 공격하여 대규모 자금을 탈취했다. 이 공격은 재진입(Reentrancy) 버그나 가격 오라클 조작과 같은 기존의 해킹 방식과는 차별화된 방식으로 이루어졌다.

해커들은 레이어제로 랩스(LayerZero Labs)에서 운영하는 오프체인 검증 인프라의 단일 장애점(Single Point of Failure)을 이용했다. 켈프다오의 rsETH는 다수의 검증 노드 중 단 한 곳에서만 크로스체인 메시지가 승인되도록 설계되어 있었으며, 해커들은 이 DVN(분산형 검증 네트워크)에서 참조하는 RPC(원격 프로시저 호출) 노드를 대상으로 공격을 감행했다.

공격자는 DDoS를 이용해 외부 RPC 노드들의 통신을 마비시키고, 레이어제로의 내부 RPC 노드에 침투하여 소프트웨어를 변조함으로써 가짜 데이터를 주입했다. 이러한 변조된 데이터는 이더리움상의 브릿지 계약에 의해서 rsETH가 '소각'되었다는 허위정보로 해석되었고, 결과적으로 해커의 주소로 11만6500 rsETH가 정상적으로 전송되는 결과를 초래했다.

기존의 온체인 보안 솔루션들은 이 공격을 전혀 탐지하지 못했다. 모든 과정은 표면적으로는 정상적인 트랜잭션처럼 보였기 때문이다. 체이널리시스는 이를 시스템 상태(System state) 문제로 지적하며, 소스 체인과 목적지 체인 간 자금의 이동이 정확히 일치하는지를 실시간으로 감시하는 크로스체인 불변성 모니터링 시스템의 필요성을 강조했다.

불행 중 다행으로, Kelp DAO는 이상 징후를 즉각적으로 감지하고 이더리움 및 L2 배포 계약을 일시 정지하고, 해커의 주소를 블랙리스트에 올리는 조치를 취했다. 이 조치 덕분에 해커는 추가로 약 9500만달러를 탈취하려던 두 번째 공격을 실패하게 되었다.

사건 발생 이틀 후, 아비트럼(Arbitrum) 보안위원회는 사법당국과 협력하여 도둑이 아비트럼 원 네트워크로 빼돌린 약 3만766 ETH를 긴급 동결했다. 이 자금은 이후 일반 사용자나 체인에 영향을 미치지 않는 안전한 중간 지갑으로 이전되어 해커의 접근이 차단된 상태다.

이번 켈프다오 해킹 사건은 디파이 생태계 보안에 대한 새로운 패러다임을 요구하고 있다. 체이널리시스는 크로스체인 프로토콜 운영 시 단일 노드에 대한 의존도를 줄이고, 다중 쿼럼 설계 및 다중 레이어 기반의 불변 모니터링 도입, 강력한 컨트랙트 일시 정지 메커니즘 확보 등을 통해 해킹 방지를 위한 체계적인 대응이 필요하다고 밝혔다.