북한 해커와 관련된 2억 9200만 달러 규모의 익스플로잇으로 인해 Kelp는 rsETH를 LayerZero의 “OFT” 표준에서 Chainlink의 “CCIP”로 마이그레이션했습니다.
2026년 5월 5일 오후 8시 21분 3분 읽기
Kelp DAO는 LayerZero 직원이 1:1 검증 설정을 승인했다고 주장하며, 이후 LayerZero는 북한과 연계된 공격자가 이 결정을 인용했습니다. 약 2억 9200만 달러가 소모되었습니다. Kelp의 rsETH 브리지에서.
이 주장은 LayerZero의 주장과 반대됩니다. 4월 19일 사후 조사Kelp의 rsETH 애플리케이션은 LayerZero Labs를 유일한 검증자로 의존했으며 이 설정은 LayerZero가 권장하는 다중 DVN 모델과 “직접적으로 모순된다”고 말했습니다.
Kelp의 메모에 따르면 LayerZero 직원은 1/1 설정이 심각한 보안 위험을 초래한다는 경고 없이 2년 반 넘게 8번의 통합 논의에서 구성을 검토했습니다.
“LayerZero Bridge 해킹에 대한 기록 바로 세우기”라는 제목의 메모에는 LayerZero의 인식과 Kelp 검증 도구 설정에 대한 반대가 없음을 문서화한 Telegram 교환의 스크린샷이 포함되어 있습니다.
한 스크린샷에는 LayerZero 팀원이 다음과 같이 말하는 모습이 나와 있습니다. “기본값을 사용해도 문제 없습니다. 태그만 지정하면 됩니다. [redacted] 그가 말한 이후로 메시지 확인을 위해 사용자 정의 DVN 설정을 사용하고 싶었을 수도 있지만 그건 팀에 맡길 것입니다!” Kelp는 교환에서 참조된 “기본값”은 나중에 LayerZero가 익스플로잇을 가능하게 한 애플리케이션 수준 설정으로 인용한 1-of-1 LayerZero Labs DVN 구성이었다고 말합니다.
CoinDesk가 스크린샷을 독립적으로 인증할 수 없습니다.
LayerZero의 템플릿
Kelp는 또한 LayerZero가 검증자 네트워크 선택을 애플리케이션 수준 구성으로 처리하는 동시에 빌더에게 1-DVN 설정을 보여주었다는 증거로 LayerZero의 버그 현상금 범위, OFT Quickstart 및 개발자 예제를 지적합니다.
레이어제로(LayerZero) 게시된 버그 현상금 범위 Immunefi에서는 검증자 네트워크 및 실행자를 포함하여 “잘못된 구성으로 인해 OApp 자체에 미치는 영향”을 보상에서 제외합니다.
그만큼 LayerZero OFT 빠른 시작 그리고 공식 OFT 예시 구성 GitHub에서는 선택적 DVN 세트 없이 LayerZero Labs를 필수 DVN으로 표시합니다.
다시마의 메모는 다음을 인용합니다. 4월 19일 포스팅 Spearbit 보안 연구원인 Sujith Somraaj는 Somraaj가 동일한 공격 패턴을 설명하는 버그 바운티 보고서를 제출했으며 LayerZero가 이를 거부했다고 말했습니다.
Somraaj는 X에 “나의 버그 포상금은 취약점이 아니며 모든 DVN이 필요합니다”라고 썼습니다. “그들의 배포: ‘모든’ 부분을 제거합니다. 해커: 대신 2억 9500만 달러의 포상금을 수집합니다.” Somraaj는 이전 LayerZero 감사자였습니다. 칸티나 프로필.
Kelp가 Chainlink로 이동
Kelp는 또한 rsETH를 LayerZero에서 Chainlink로 옮길 것이라고 말했습니다. 크로스체인 상호 운용성 프로토콜. 이러한 변화는 rsETH를 LayerZero의 OFT 표준에서 Chainlink의 Cross-Chain Token 표준으로 이동합니다.
이 익스플로잇으로 인해 Kelp의 LayerZero 기반 브리지에서 약 2억 9200만 달러 상당의 116,500 rsETH가 소모되었습니다. Kelp가 계약을 일시 중지하기 전에 총 1억 달러가 넘는 두 개의 추가 위조 거래가 LayerZero Labs DVN에 의해 서명되고 처리되었다고 프로토콜은 밝혔습니다.
LayerZero가 말했습니다. 공격자 LayerZero Labs DVN에서 사용하는 RPC 목록에 액세스하여 두 개의 RPC 노드를 손상시키고 해당 노드에서 실행되는 바이너리를 교체한 북한의 Lazarus Group과 연결되어 있을 가능성이 높습니다.
그런 다음 공격자는 손상되지 않은 RPC 노드에 대해 DDoS 공격을 시작하여 감염된 노드에 대한 장애 조치를 강제했습니다. LayerZero는 DVN이 발생하지 않은 거래를 확인했다고 말했습니다.
Kelp는 1:1 설정이 널리 퍼져 있다고 주장합니다. CoinGecko는 Dune Analytics 데이터를 인용하여 약 2,665개의 활성 LayerZero OApp 계약 중 47%가 4월 22일경까지 90일 동안 1/1 DVN 구성을 실행했으며 관련 시장 가치 45억 달러 이상이 동일한 등급의 위험에 노출되어 있다고 밝혔습니다.
LayerZero의 사후 분석에서는 프로토콜이 “의도한 대로 정확하게 작동했다”고 밝혔습니다. 회사는 해킹 이후에 적용된 정책 변경인 1-of1 구성을 실행하는 모든 애플리케이션에 대해 더 이상 메시지에 서명하지 않을 것이라고 밝혔습니다.
Kelp는 팀이 공격을 다른 방법이 아닌 LayerZero에 표시해야 했다고 주장하여 LayerZero의 모니터링에 대한 의문을 제기합니다.
이 메모는 또한 LayerZero Labs DVN과 Nethermind DVN 모두에서 ADMIN_ROLE이 부여된 주소가 상당히 중복되어 2026년 4월 8일에 10개, 2025년 2월 6일에 5개가 추가되었다고 주장합니다. CoinDesk는 온체인 주장을 독립적으로 확인하지 않았습니다.
LayerZero는 출판을 통한 논평 요청에 응답하지 않았습니다.
문서에 따르면 최소 두 개의 통합 체인인 Dinari와 Skale에서 LayerZero Labs DVN은 여전히 사용 가능한 유일한 증명자로 나열되어 있습니다.
AI 면책조항: 이 기사의 일부는 AI 도구의 도움을 받아 생성되었으며 편집팀에서 검토하여 정확성과 준수성을 보장했습니다. 우리의 기준. 자세한 내용은 다음을 참조하세요. CoinDesk의 전체 AI 정책.
당신을 위한 더 많은 것
이러한 움직임은 가짜 저작권 이메일을 사용하는 피싱 공격에 대한 대응으로 이루어졌으며 플랫폼에서 암호화폐와 연결된 사기를 차단하려는 시도의 최신 조치입니다.
알아야 할 사항:
- X의 제품 책임자인 Nikita Bier에 따르면 X는 사기 활동을 줄이기 위해 처음으로 암호화폐 관련 게시 계정을 자동으로 잠글 예정입니다.
- 이러한 조치는 가짜 저작권 이메일을 사용하는 피싱 공격에 대한 대응으로 이루어졌으며 암호화폐 관련 사기를 차단하려는 가장 최근의 시도입니다.
