에이브(Aave)가 자산 상장 규칙을 다시 작성하고 있다. 이러한 변화는 rsETH와 관련된 2억3천만 달러 규모의 익스플로잇이 크로스체인 브리지 보안의 중대한 취약점을 드러낸 데 따른 것이다. 프로토콜이 공개한 공식 사후 분석(postmortem)에 따르면, 이 공격은 레이어제로(LayerZero) 브리지 검증 프로세스의 실패에서 비롯되었다.
2억3천만 달러 규모 익스플로잇과 레이어제로 실패
이 익스플로잇은 프로토콜이 브리징된 자산을 검증하는 방식의 취약점을 공격해 Aave 풀에서 수백만 달러를 빼냈다. 공식 사후 분석에 따르면, 근본 원인은 Aave 스마트 계약의 버그가 아니라 레이어제로 브리지 검증 실패였다. 이러한 구분은 중요하다. 수년간 DeFi 해킹은 대부분 코딩 오류(재진입 공격, 플래시론 익스플로잇, 오라클 조작)에 기인했다. 하지만 이번은 달랐다. 블록체인을 연결하는 브리지에 내재된 신뢰 가정(trust assumptions)이라는 새로운 종류의 위험을 드러냈다.
rsETH 토큰은 체인 전반에 걸쳐 스테이킹된 ETH를 대표하는 역할을 해야 했다. 브리지가 자산을 제대로 검증하지 못하면서, 공격자는 수백만 달러 상당의 가짜 rsETH를 발행해 Aave에서 인출했다. 익스플로잇이 중단되기 전까지 프로토콜은 2억3천만 달러의 손실을 입었다. 사후 분석에서는 이번 공격의 배후에 있는 특정 개인이나 그룹을 명시하지 않았다.
브리지 리스크 대응을 위한 새로운 상장 기준
Aave의 대응은 자산 상장 기준을 전면 개편하는 것이다. 이제 프로토콜은 브리징된 자산을 담보로 허용하기 전에 해당 자산이 어떻게 검증되는지 평가할 것이다. 기존 프로세스는 스마트 계약 감사와 유동성 검사에 초점을 맞췄다. 새로운 프로세스는 브리지 메커니즘 자체(브리지가 메시지를 어떻게 검증하는지, 누가 제어하는지, 실패할 경우 어떻게 되는지)를 깊이 파고들 것이다.
이는 위험 환경이 변화했다는 직접적인 인정이다. Aave는 더 이상 자체 코드의 버그만 걱정하지 않는다. 모든 크로스체인 거래를 관통하는 신뢰의 사슬(chain of trust)을 우려하고 있다. 이번 개편은 아직 초안 단계이지만 방향은 명확하다. 체인을 넘나드는 모든 토큰은 추가적인 조사를 받게 될 것이다.
DeFi 리스크 관리에 미치는 의미
rsETH 익스플로잇은 더 광범위한 추세의 일부다. 브리지 취약점은 탈중앙화 금융(DeFi)에서 손실의 가장 큰 원인이 되었다. 2억3천만 달러 규모의 Aave 사건은 지난 2년간 수십억 달러를 빼낸 브리지 해킹 목록에 추가된다. 프로토콜들은 이제 리스크 모델 업데이트에 경쟁적으로 나서고 있다.
Aave의 움직임은 업계 전체에 신호를 보낸다. 다른 대출 프로토콜들도 유사한 검토를 뒤따를 가능성이 높다. 문제는 새로운 기준이 다음 브리지 실패를 막기에 충분할지 여부다. 브리지는 여전히 DeFi 체인에서 가장 약한 고리다.
새로운 상장 기준의 도입 일정은 아직 제시되지 않았다. Aave의 거버넌스 커뮤니티는 앞으로 몇 주 안에 세부 사항을 논의할 것으로 예상된다. 이 결정은 향후 DeFi가 크로스체인 리스크를 어떻게 처리할지에 대한 선례를 남길 것이다.
