디파이 유나이티드(DeFi United)의 연합이 확대되는 가운데, Aave가 rsETH 담보 복원 기술 계획을 발표했습니다

• 복구 작업은 두 가지 병행 방식으로 진행됩니다. 즉, 단계별 ETH 예치를 통해 rsETH의 명목상 담보 비율 1.07 ETH를 복원하고, 8개의 Aave 포지션을 청산하는 것입니다.
• 취약점 악용 후 분석 결과, Aave 내 rsETH 담보의 98%가 단일 순환 거래에 집중되어 있었으며, 이는 플랫폼 전반에 걸쳐 피해를 증폭시킨 구조적 취약점으로 밝혀졌습니다.
• Defi United의 프로토콜 간 복구 연합에 Compound가 합류함에 따라, 이는 최근 기억에 남는 탈중앙화 금융(DeFi) 해킹 사건 중 가장 광범위한 공동 대응이 이루어지게 되었습니다.

단일 루핑 거래로 인해 Aave가 취약해졌다

4월 18일 발생한 이 공격은 유니체인(Unichain)에서 이더리움(Ethereum)으로 연결되는 경로의 rsETH 브리지를 표적으로 삼았습니다. 위조된 인바운드 패킷이 이더리움 측에서 검증되었으나 유니체인 측에서는 이에 상응하는 소각이 이루어지지 않아, 이더리움 측 어댑터에서 116,500 rsETH가 유출되었습니다.

도난당한 자금은 이후 여러 주소로 분산되었으며, 상당 부분은 이더리움상의 Aave V3에 담보로 예치되었고, 또 다른 부분은 아비트럼(Arbitrum)으로 브리지되어 그곳의 Aave에서 포지션을 개설하는 데 사용되었다. 나머지 자금은 다른 경로를 통해 이동했다. 이 사건은 크립토퀀트(Cryptoquant) 분석가들이 2024년 이후 최악의 탈중앙화 금융(DeFi) 유동성 위기로 묘사한 사태를 촉발했다.

현재 공격자와 연관된 7개의 주소는 Aave와 Compound 전반에 걸쳐 rsETH로 담보된 활성 포지션을 보유하고 있으며, 이는 도난당한 총 116,500 rsETH 중 약 107,000 rsETH에 해당합니다. Defi United의 계획은 두 가지 병행 트랙으로 진행되는데, 첫 번째는 rsETH의 담보 비율을 복원하는 것이며, 두 번째는 영향을 받은 포지션을 청산하여 초과 담보를 회수하는 것입니다.

1.07 ETH 담보 비율 복원

rsETH가 정상적인 시장 운영을 재개하려면, 그 담보 비율이 명목상 켈프(Kelp) rsETH 교환 비율인 1.07 ETH로 복원되어야 합니다. 디파이 유나이티드는 이를 달성하는 데 필요한 ETH 약정을 확보했으며, 최종 실행은 거버넌스 승인 및 확정 계약 체결에 따라 결정됩니다.

복원 과정은 의도된 리스크 관리 구조에 따라 약정된 ETH를 단계적으로 rsETH로 전환한 후, 이를 브리지 락박스 계약에 예치합니다. Layerzero와 Kelp 모두 브리지 재개에 앞서 추가적인 보안 조치를 시행했으나, 해당 계획에 따르면 이러한 조치들이 실제 운영 환경에서 검증될 때까지는 잔여 리스크가 남아 있다고 명시하고 있습니다.

악용자 포지션 청산을 위한 통제된 청산

Aave의 이더리움 코어 및 아비트럼(Arbitrum) 시장에서 영향을 받은 8개의 포지션을 청산하려면 두 네트워크 모두에서 거버넌스 제안이 통과되고 실행되어야 합니다. 이 메커니즘은 효율적인 청산을 가능하게 하기 위해 rsETH 오라클 가격을 일시적으로 조정하여 통제된 적자를 발생시키고, 이후 상환된 rsETH 담보에서 회수된 ETH를 사용하여 이를 청산합니다. 모든 구성 조정은 일시적이며 완료 후 완전히 원상복구되며, Aave 프로토콜에 영구적인 변경 사항은 없습니다.

이 트랙은 현재 Aave 포지션에 잠겨 있는 약 13,000 ETH의 회수를 목표로 합니다. Compound는 Defi United와 협력하여 악용자의 포지션을 병행 청산하고 있으며, 필요한 유동성을 제공하고 있어 해당 측에서 추가로 16,776 ETH를 회수할 것으로 예상됩니다.

다만, 이더리움과 아비트럼 양쪽에서 활성 포지션을 유지하고 있는 공격자의 고의적인 개입으로 인해 청산 절차가 복잡해지고 추가 조치가 필요할 수 있으므로, 실행 과정에는 거버넌스 리스크가 존재합니다. 디파이 유나이티드는 손실을 사회화하지 않고 rsETH 담보를 복원할 수 있도록 계획을 수립했으나, 그 결과는 모든 거버넌스 및 청산 단계가 원활하게 진행되는지에 달려 있습니다.