Aave, 3억 달러 규모의 지원금이 유출된 자산을 대체함에 따라 운영이 정상화되었다고 밝혔다

해킹 사건의 전말

탈중앙화 금융(DeFi)의 선구자인 Aave는 프로토콜의 현금 준비금을 위협했던 3억 달러 규모의 크로스체인 해킹 사건 이후 수 주간에 걸친 적극적인 안정화 노력을 마무리하며 대출 풀의 유동성을 완전히 복구하는 데 성공했다고 개발진이 6월 1일 발표했다.

Aave는 사후 분석 보고서에서 업계 전반의 3억 달러 규모 구제 기금을 동원하고 연방 법원의 긴급 명령을 확보함으로써 유출된 자산을 보충하고, 예금자들의 손실을 방지하며, 프로토콜 전반에 걸쳐 정상적인 대출 및 차입 운영을 복구할 수 있었다고 밝혔다.

이번 사후 분석 보고서는 공격자가 켈프(Kelp)와 레이어제로(Layerzero)가 운영하는 제3자 브리지를 악용한 지 한 달여 만에 공개되었다. 해커는 크로스체인 메시지를 조작해 116,500개의 위조 rsETH 토큰을 발행하고 이를 Aave V3 플랫폼에 담보로 예치했다.

공격자는 즉시 이 위조 rsETH를 담보로 활용해 유동성이 높은 자산을 빼돌렸으며, 82,650개의 랩피드 이더리움(WETH)과 821개의 랩피드 스테이킹 이더리움(wstETH)을 차입했다. 이러한 갑작스러운 대규모 인출로 인해 Aave의 핵심 유동성 풀이 구조적으로 약화되었고, 리스크 관리자들은 플랫폼 자본에 대한 연쇄적인 뱅크런을 막기 위해 영향을 받은 시장을 동결해야만 했습니다. 이 문제를 해결하기 위해 Aave Labs는 Lido, Ether.fi, Ethena, Compound 등 주요 업계 플레이어들과 함께 긴급 연합을 구성하는 데 기여했습니다. 이 연합은 총 3억 달러 규모의 복구 기금을 조성했습니다. 이 자본 투입은 손상된 rsETH 자산을 효과적으로 뒷받침하여, 사용자 예치금 1달러당 1달러가 실제 준비금으로 완전히 담보되도록 보장했습니다.

자본 동결 해제

그러나 유동성 회복 과정은 5월 1일, 관련 없는 연방 소송의 판결 채권자들이 회복 절차를 가로막으면서 법적 난관에 부딪혔습니다. 채권자들은 공격자로부터 회수되어 Aave의 풀을 재충전할 예정이었던 약 7,100만 달러 상당의 이더리움을 동결하는 가처분 명령을 획득했습니다.

이에 Aave는 5월 4일 미국 연방 법원에 긴급 신청서를 제출했고, 4일 후 판사는 동결 조치에 대한 중대한 수정 결정을 내려 7,100만 달러를 즉시 Aave의 직접 관리 하에 반환할 수 있도록 허용했습니다. 이러한 법적 돌파구 덕분에 개발자들은 자금을 즉시 프로토콜의 활성 대출 풀로 되돌려 보낼 수 있었으며, 안전한 시장 운영에 필요한 유동성 깊이를 회복할 수 있었습니다. 자본 준비금이 완전히 보충되고 공격 이전의 시장 매개변수가 복원됨에 따라, Aave는 향후 제3자의 시스템적 실패로부터 유동성을 보호하기 위해 위험 관리 체계를 전면 개편하고 있습니다.

향후 공격자가 악용된 토큰을 프로토콜의 유동성 자산으로 전환하는 것을 방지하기 위해, Aave 개발진은 295건의 개별 매개변수 업데이트를 실행하여 168개 별도 자산 풀 전반에 걸쳐 차입 및 공급 한도를 대폭 축소했습니다. 또한, 프로토콜은 자동화된 LTV0(대출 대비 가치 0) 서킷 브레이커를 도입하고 있습니다. 앞으로 특정 자산의 기반이 되는 크로스체인 인프라에서 보안 침해 사고가 발생하면, 시스템은 즉시 해당 자산의 담보 가치를 제거할 것입니다. 이를 통해 침해된 토큰이 더 이상 Aave 시장에서 자금을 차입하거나 실제 유동성을 유출하는 데 사용될 수 없도록 보장합니다.