블록체인 보안 업체들이 수집한 데이터에 따르면, 4월 디파이(DeFi)는 28건의 별도 사건을 통해 6억 3,500만 달러가 유출되며 1년여 만에 최악의 달을 기록했다. 이로 인해 누적 역사적 손실은 165억 달러에 이르렀으며, 그중 77억 달러가 DeFi를 직접 겨냥한 것이다. 이달 가장 큰 피해를 입힌 단일 사건인 rsETH 브리지 공격은 Aave에 2억 달러의 부실 채권을 남겼고, 업계가 속도를 보안보다 우선시하는 방식에 대한 논쟁을 다시 불러일으켰다.
rsETH 공격: 수년간 존재한 1-of-1 설정
KelpDAO의 rsETH 브리지에 대한 공격은 메시지 승인에 단 하나의 검증자만 필요로 하는 1-of-1 탈중앙 검증자 네트워크(DVN) 구성을 악용했다. 공격자는 RPC 인프라를 장악하고, DDoS를 통해 감염된 노드로 장애 조치를 강제한 후, 그 단일 DVN에 허위 데이터를 주입했다. 위조된 메시지는 약 116,500 rsETH를 해제했으며, 이는 Aave에 담보로 예치되었다.
Aave의 사고 보고서는 이더리움 체인이 공격으로부터 논스 308을 수락한 반면, Unichain 소스 엔드포인트는 307을 넘지 못했다는 불일치를 확인했으며, 이는 더 나은 모니터링으로 잡혀야 했을 것이라고 밝혔다. KelpDAO는 1-of-1 DVN이 LayerZero 자체가 제공한 기본 설정이었다고 주장한다. LayerZero는 KelpDAO가 해당 설정으로 다운그레이드했다고 반박한다. 어쨌든 LayerZero는 이후 프로토콜 전체에서 1-of-1 DVN 구성을 금지했다.
비난, 책임, 그리고 라자루스 연루
체이널리시스(Chainalysis)는 이 공격을 북한 라자루스 그룹과 잠정적으로 연결했지만, 귀속 작업은 여전히 진행 중이다. 업계에게 이 사건은 누가 했는지보다 어떻게 발생했는지에 더 초점이 맞춰져 있다. "DeFi는 역사적으로 성장, 통합, 유동성, 속도를 보안 성숙도보다 우선시해 왔다"고 Immunefi의 CEO 미첼 아마도르(Mitchell Amador)는 말했다. 그는 멀티시그 위생, 공급망 강화, 실시간 모니터링, 비상 대응 절차 등 많은 프로토콜이 여전히 간과하는 관행을 지적했다.
솔스티스 파이낸스(Solstice Finance)의 CEO 벤 나다레스키(Ben Nadareski)는 "승리하는 팀은 첫날부터 규정 준수와 보안 위에 구축될 것"이라고 단언했다. 그리고 오일러 파이낸스(Euler Finance)의 CTO 카스퍼 파울로프스키(Kasper Pawlowski)는 DeFi의 위험 평가가 종종 일회성 체크리스트로 취급되지만 "위험은 동적"이라고 지적했다.
한 달 만에 TVL 110억 달러 증발
rsETH 사건 외에도, Drift와 KelpDAO 브리지의 고액 해킹으로 인해 지난달 DeFi의 총 예치 자산(TVL)이 거의 110억 달러 감소했다. 이 수치는 보안 연구원들이 계속 경고해 온 추세, 즉 프로토콜이 통합과 유동성을 추구함에 따라 공격 표면이 방어 속도보다 빠르게 확장된다는 점을 강조한다. 4월 손실은 2024년 초 이후 월별 최고치다.
이제 업계가 보안을 출시일 체크리스트가 아닌 지속적인 프로세스로 취급할지, 아니면 또 다른 2억 달러 규모의 구멍이 나타날 때까지 기다릴지가 관건이다.
