LayerZero는 옴니체인 상호 운용성 프로토콜이 Kelp의 1-of-1 검증자 구성을 비난한 후 최근 2억 9천만 달러 규모의 KelpDAO 익스플로잇에 대한 대응으로 큰 비판을 받고 있습니다.
LayerZero는 $290M 악용에 대해 KelpDAO를 비난합니다.
주말 동안 유동 재스테이킹 프로토콜인 KelpDAO는 악의적인 행위자가 프로토콜의 LayerZero 기반 브리지의 약점을 악용한 후 프로젝트에서 2억 9천만 달러 이상의 rsETH를 소모한 공격의 피해자가 되었습니다.
이틀 후 LayerZero는 Drift Protocol의 2억 8,500만 달러 규모의 해킹이 발생한 지 불과 몇 주 만에 2026년 최대 규모의 DeFi 해킹이 된 사건을 다루었습니다. 악용하다 업계에 충격을 안겼다.
LayerZero는 “매우 정교한 공격”을 북한의 라자루스 그룹(Lazarus Group)의 소행으로 간주하며 이것이 프로토콜 악용이 아닌 암호화폐 인프라 공격이었다고 주장하고 “다른 크로스체인 자산이나 애플리케이션에 대한 전염이 전혀 없다”고 단언했습니다.

그들은 이 프로토콜이 크로스체인 메시지의 무결성 확인을 담당하는 독립적 개체인 DVN(Decentralized Verifier Networks)을 사용하여 “모듈식 애플리케이션 구성 가능 보안의 기반” 위에 구축되었다고 설명했습니다.
악의적인 행위자는 “LayerZero Labs DVN이 트랜잭션을 확인하기 위해 의존하는 RPC의 정족수를 손상시켜” 다운스트림 RPC 인프라를 오염시킨 것으로 알려졌습니다.
게시물에 따르면, 공격자는 메시지를 위조하기 위해 사용자 지정 페이로드용 바이너리를 교체하고 DDoS 공격을 사용하여 감염된 노드에 대한 장애 조치를 강제로 실행하여 DVN이 가짜 거래를 확인하도록 촉발했습니다.
이를 바탕으로 LayerZero는 배치 다중 DVN 권장 사항 대신 1/1 검증자 구성을 사용하는 KelpDAO의 책임: “이 사건은 단일 DVN 설정의 직접적인 결과로 KelpDAO의 rsETH 구성으로 완전히 분리되었습니다.”
암호화폐 커뮤니티, ‘책임감 부족’ 비판
암호화폐 커뮤니티는 사후 부검에 반응하여 다음과 같은 내용을 공유했습니다. 우려 LayerZero의 응답에 대해 그리고 Kelp의 보안 설정에만 모든 책임을 두는 프로토콜을 비판합니다.
“다리를 건설하고 차량이 돈을 지불하고 건너는 것을 상상해 보세요. 다리가 무너졌고 당신은 다리를 건너는 것이 그들의 잘못이라고 말했습니다. 책임감이 전혀 없는 Bunch of clowns의 고전적인 광대 행위입니다.” X 사용자 Saint 썼다.
기타 질문을 받은 DVN의 목적이 사용자 정의 가능/모듈식 보안인 경우 LayerZero에 “1-of-1” 구성이 포함된 이유. 사용자 Ditto는 “시스템이 이 옵션을 허용한다면 이를 선택한 고객의 잘못이 아니라 이를 허용한 시스템의 근본적인 설계 결함입니다”라고 썼습니다.
“결국 DVN RPC가 손상되었다는 사실은 여전히 남아 있습니다. DVN은 LayerZero 제품이며 이를 이 팀에 판매한 사람들입니다.”라고 그는 계속했습니다.
마찬가지로, Chainlink 커뮤니티 관리자 Zach Rynes 고발 당한 자신의 DVN 노드 손상에 대한 책임을 회피하는 프로토콜입니다.
그는 또한 “기꺼이 지원하고 해킹당한 후에만 차단하면서 모든 것이 설계된 대로 작동한다고 주장하는” LayerZero Labs의 설정을 신뢰하기 위해 “KelpDAO를 버스 아래로 던지고 있다”고 비판했습니다.
한편 Yearn Finance 핵심팀 개발자 Artem K는 유명한 X에서는 공격이 RPC 노드와 RPC 중독의 손상으로 설명되었지만 자체 인프라가 손상되었다고 합니다. “ 침해가 어떻게 발생했는지 알려주지 않는다는 점을 감안할 때 교량을 다시 활성화하기 위해 서두르지는 않을 것입니다.”라고 그는 덧붙였습니다.
잘못된 진단, 잘못된 수정?
분석가인 The Smart Ape도 주장 LayerZero가 잘못된 진단을 내리고 잘못된 해결책을 제시했다는 것입니다. 특히 프로토콜의 사후 분석에서는 유사한 공격을 방지하기 위해 1-of-1 DVN 구성을 사용하는 모든 애플리케이션을 다중 DVN 설정으로 마이그레이션할 것을 제안했습니다.
그러나 분석가는 다중 검증자가 다음 수백만 달러 규모의 공격을 막지 못할 것이라고 지적하면서 모든 DVN이 대부분 AWS 또는 GCP에 클러스터링되어 있는 동일한 소수의 RPC 공급자로부터 체인 상태를 읽으므로 실패할 수 있다고 주장했습니다.
5개의 “독립적인” DVN이 동일한 3개의 RPC 제공자로부터 읽는 경우, 이 3개의 RPC를 감염시키는 공격자는 동시에 5개의 검증자를 모두 감염시키게 됩니다. “모든 검증자가 동시에 같은 방식으로 속으면 수학은 1/1로 다시 무너집니다. 5명의 클론은 5명의 증인이 아닙니다.”라고 그는 덧붙였습니다.
이 문제를 해결하기 위해 분석가는 모든 검증인 다양한 클라이언트 소프트웨어에서 자체 전체 노드를 실행하고, 다양한 클라우드 제공업체에서 호스팅하고, 다양한 운영 팀에서 유지 관리하고, Ethereum 네트워크의 다양한 하위 집합과 피어링합니다.
“수정 사항은 여러 가지가 아닙니다. 수정 사항은 검증자가 체인 상태뿐만 아니라 자체 기판을 증명해야 한다는 것입니다. RPC 제공업체, 클라이언트 소프트웨어, 클라우드, 지역 등 ‘M-of-N 보안’이 실제로 구축되지 않은 자산에 대한 마케팅 사본인 DVN의 업스트림 토폴로지를 감사할 수 있을 때까지 Lazarus는 4월 18일에 암호화를 해독하지 않았습니다. 그들은 세 개의 서버를 깨뜨렸습니다.”라고 그는 결론지었습니다.

Unsplash.com의 특집 이미지, TradingView.com의 차트

