Certik 애널리스트: KelpDAO 해킹 사건, 크로스체인 사이버 범죄의 중대한 변화를 드러내다

• 아비트럼(Arbitrum) 보안 위원회와 SEAL 911은 4월 18일 켈프(Kelp) DAO 해킹 피해를 최소화하기 위해 30,766 ETH를 동결했다.
• Certik 애널리스트 웬자오 동은 브리지 해킹이 이제 Aave와 같은 플랫폼에 체계적인 부실 채무를 초래한다고 경고했다.
• Kelp DAO는 rsETH의 페그를 복원하고, 분실된 디지털 자산 중 남은 2억 2천만 달러를 회수하는 것을 목표로 하고 있습니다.

보안 대 주권

30,766 ETH를 동결하기 위한 아비트럼 보안 위원회(ASC)의 신속한 개입은 블록체인 분야에서 가장 근본적인 논쟁 중 하나인, 불변의 탈중앙화와 실용적인 거버넌스 사이의 긴장 관계를 다시 불러일으켰습니다.

7,100만 달러 상당의 ETH를 회수한 것은 피해자들에게 분명한 승리이지만, 그 방식은 커뮤니티를 두 개의 뚜렷한 진영으로 갈라놓았습니다. 한편, 순수주의자들은 ASC가 일방적으로 자산을 동결할 수 있는 권한이 암호화폐가 대체하고자 했던 중앙화된 금융 시스템으로 향하는 "미끄러운 경사면"이라고 주장합니다. 그들은 오늘날 위원회가 해커를 제재할 수 있다면, 내일은 정치적 반대자나 합법적인 기업을 제재하도록 강요받을 수 있다고 주장한다. 이 그룹에게 ‘인간 개입(human-in-the-loop)’은 신뢰 불필요성이라는 핵심 약속을 훼손하는 시스템적 취약점이다.

반면 실용주의자들은 절대적인 탈중앙화를 출시 첫날부터의 필수 조건이 아닌, 궁극적으로 지향해야 할 최종 상태로 본다. 그들은 탈중앙화 금융(DeFi)이 주류로 자리 잡기 위해서는 치명적인 손실을 완화할 수 있는 "서킷 브레이커"가 반드시 필요하다고 주장한다. 이러한 관점에서 ASC는 라자루스 그룹(Lazarus Group)과 같은 정교한 국가 후원 행위자로부터 사용자를 보호하는 데 필요한 책임성을 제공하는 필수적인 안전장치, 즉 "디지털 소방서"이다.

Bitcoin.com News 및 기타 언론 매체가 보도한 바와 같이, ASC는 공격자의 신원에 대한 법 집행 기관의 정보를 바탕으로 조치를 취했다. 위원회는 아비트럼(Arbitrum) 사용자나 애플리케이션에 영향을 미치지 않으면서도 아비트럼 커뮤니티의 보안과 무결성에 대한 책임을 다하기 위해 신중히 고려했다고 밝혔다.

이번 동결 조치가 일시적인 안도감을 주기는 하지만, 한 전문가는 이번 해킹 사건이 브리지의 취약점을 체계적으로 악용해 대출 시장을 감염시키는, 더 위험해진 디파이(DeFi) 범죄의 새로운 단계를 보여준다고 경고했다. Certik의 블록체인 분석가인 웬자오 동(Wenzhao Dong)은 공격자의 전략을 분석하며, 북한 후원 라자루스 그룹이 시장 유동성에 대한 정교한 이해를 보여주었다고 지적했다. 동은 최근 하이퍼브리지(Hyperbridge) 사건 — 공격자들이 10억 폴카닷을 발행했으나 가격 폭락 전 약 24만 달러만 환전하는 데 그쳤던 — 과 달리, 켈프 DAO(Kelp DAO) 공격자들은 더 효율적인 "현금화" 경로를 선택했다고 언급했다.

"켈프 DAO 해킹 사건은 현대 디파이(DeFi)의 명확한 위험 패턴을 보여준다"고 동은 말했다. "브리지 취약점은 고립된 상태로 남아있지 않고, 대출 시장의 문제로 번진다. 공격자는 Aave에서 위조된 rsETH를 담보로 사용하여 WETH를 차입함으로써, 브리지 도난을 Aave의 부실 채권으로 전환시켰다."

동은 공격자들이 대규모 매도 주문이 슬리피지를 유발하고 조기 탐지를 초래했을 현물 시장을 의도적으로 피했다고 지적했다. 대신 Aave를 중개자로 활용함으로써, 그들은 위험을 대출 프로토콜로 전가했다. "DeFi 보안은 상호 연결되어 있습니다,"라고 동은 덧붙였다. "프로토콜은 자체 계약에만 집중할 수 없습니다. 시스템 내 모든 종속 요소가 초래하는 위험을 고려하고 그에 따라 방어 조치를 구현해야 합니다."

ASC가 동결 조치를 발표한 지 몇 시간 후 공유된 업데이트에서 켈프 DAO는 위원회의 "단호한 조치"에 감사를 표했다. 켈프 DAO는 SEAL 911의 "협조와 정보 체계화"가 해커들이 남은 7,100만 달러 상당의 ETH를 아비트럼 네트워크 밖으로 옮기기 전에 이해관계자들이 행동할 수 있게 한 핵심 요인이라고 평가했다.

동결 조치가 성공적으로 이루어졌음에도 불구하고, 약 2억 2,000만 달러는 여전히 행방불명 상태다. 켈프 DAO는 현재 Aave 및 기타 파트너들과 협력하여 이번 공격으로 발생한 "부실 채권" 문제를 해결하는 데 주력하고 있다고 밝혔다. 또한 해당 조직은 rsETH 보유자들을 지원하고 프로토콜의 페그를 복원하기 위해 가능한 모든 방안을 모색할 것이라고 전했다.