체인애널리시스, 2억 9,200만 달러 규모의 해킹 공격이 소각 검증 절차를 우회함에 따라 디파이 보안의 치명적인 사각지대를 지적

• 체인애널리시스(Chainalysis)는 크로스체인 신뢰 가정에 심각한 결함이 있음을 드러내는 켈프DAO(KelpDAO) 해킹 사건을 지적했습니다.
• 분석 결과, Layerzero의 설계 결함으로 인해 단일 검증자가 DeFi 안전 장치를 우회할 수 있는 것으로 나타났습니다.
• 체인애널리시스가 숨겨진 결함이 탐지를 피할 수 있다고 경고함에 따라 프로토콜들은 점점 더 커지는 위험에 직면하고 있습니다.

크로스체인 브리지 결함, DeFi 보안 위험 노출

블록체인 분석 기업 체인애널리시스(Chainalysis)는 4월 20일, 2억 9,200만 달러 규모의 탈중앙화 금융(DeFi) 해킹 사건을 조명하며 크로스체인 브리지 설계의 치명적인 취약점을 드러냈습니다. 켈프DAO(KelpDAO)의 rsETH 인프라와 관련된 이 사건은 조작된 입력이 검증 시스템을 우회할 수 있는 방식을 보여주었습니다. 이 사례는 멀티체인 프로토콜에 내재된 신뢰 가정에 대한 우려가 커지고 있음을 시사합니다. 체인애널리시스는 소셜 미디어 플랫폼 X를 통해 다음과 같이 밝혔습니다:

“약 2억 9,200만 달러 규모의 켈프DAO/rsETH 브리지 해킹 사건은 디파이(DeFi) 보안의 치명적인 사각지대를 드러냅니다.”

이 회사는 이번 침해 사고가 결함이 있는 스마트 계약이 아닌, 결함이 있는 신뢰 계층에서 비롯되었다고 설명했습니다. 공격자들은 KelpDAO를 지원하는 LayerZero 인프라를 표적으로 삼아, 1-of-1 검증자 쿼럼을 악용했습니다. 해당 구성은 제한된 원격 프로시저 호출(RPC) 엔드포인트에 의존하여 단일 장애 지점을 생성했습니다. 일단 침해되자, 이 경로는 광범위한 합의 없이도 무단 승인이 가능하게 했습니다. 이 분석 업체는 시스템이 조작된 조건을 유효한 것으로 받아들여, 표준 보안 조치에 의해 탐지되지 않은 채 악용이 진행될 수 있었다고 설명했다.

불변의 실패 사례, 실시간 모니터링 필요성 부각

공격자는 RPC 엔드포인트를 침해하여 검증자의 데이터 입력에 침투했습니다. 허위 정보로 인해 시스템은 소스 체인에 조작된 소각 이벤트를 기록했습니다. “이 허위 상태를 바탕으로 브리지는 메시지를 승인하고 이더리움에서 116,500 rsETH를 공격자에게 지급했습니다. 실제로는 이에 상응하는 소각이 전혀 발생하지 않았습니다. 체인애널리시스(Chainalysis)는 “코드 수준에서 거래가 설계된 대로 정확히 실행되었기 때문에 표준 보안 시스템은 이를 완전히 놓쳤습니다”라고 설명했습니다. 이 일련의 과정은 소각된 자산과 발행된 토큰 간의 일치성을 요구하는 브리지의 핵심 불변성을 위반했습니다. 코드가 올바르게 실행되었음에도 불구하고, 외부 데이터 무결성에 대한 의존으로 인해 이 익스플로잇이 성공할 수 있었습니다. 체인애널리시스는 다음과 같은 광범위한 경고를 덧붙이며 결론을 내렸습니다:

“이번 공격은 악성 코드를 탐지하는 것만으로는 충분하지 않다는 것을 증명합니다. 프로토콜은 시스템이 불가능한 상태에 진입했을 때 이를 감지해야 합니다.”

이 회사는 크로스체인 일관성을 실시간으로 검증할 수 있는 지속적인 모니터링 시스템의 필요성을 강조했습니다. 불변량 추적 프레임워크와 같은 도구는 잠긴 자산과 지급된 자금 간의 불일치를 식별할 수 있습니다. 이러한 메커니즘을 통해 프로토콜은 손실이 확대되기 전에 운영을 중단할 수 있으며, 이는 코드 감사에만 의존하기보다 시스템 전반의 상태를 검증하는 것이 중요함을 다시 한번 강조합니다.