딥 리플레이 Kelp DAO 연쇄 강도 사건: DeFi 위험과 수익의 심각한 불일치, 암호 자산 관리의 돌파구는 어디에 있는가?

DeFi 어두운 숲의 다모클레스의 검이 월초 Drift 2.85억 달러 해킹 사건 이후 불과 몇 주 만에 다시 떨어졌다.

최근 유동성 재질권(LRT) 트랙의 선두 프로젝트 Kelp DAO가 재앙적인 해킹 공격을 당해 2.92억 달러의 자산이 탈취당했다. 이 폭풍은 Kelp DAO의 국고를 고갈시켰을 뿐만 아니라 DeFi의 조합 가능성(DeFi Lego)을 통해 대출 거대 기업 Aave로 빠르게 전파되어 2억 달러 이상의 엄청난 부실채권을 안게 되었다.

전투가 끝난 후, 프로젝트 간의 책임 전가가 시작되었다. 기관급 디지털 자산의 규제 수탁을 오랫동안 연구해온 팀인 Cactus Custody는 "RPC 투독"의 기술적 안개를 걷어내며, 이 연쇄 강도 사건이 전체 산업에 던진 매우 심각한 영혼의 질문을 제기했다: 현재 DeFi의 극히 낮은 수익과 극히 높은 위험이 심각하게 불일치하고 있는가? 미래의 기관화 자산 관리 물결 속에서, 완전한 "탈중앙화"가 안전 취약점의 수치로 전락했는가?

1. 강도 사건 복원: 바닥 투독, 단일 서명 맨몸과 해커의 광란

공식 정보와 보안 전문가의 분석을 종합해 볼 때, 이번 공격은 정교하게 계획된 "차원 축소 공격"이었다.

1. 공격 수법: RPC 노드 투독 (RPC Poisoning)

LayerZero의 공식 성명과 느린 안개 유사 전문가의 분석에 따르면, 이번 공격의 진입점은 스마트 계약 자체의 코드 취약점이 아니라, 바닥의 RPC 노드가 해커에게 탈취되거나 오염된 것이다. 이로 인해 LayerZero는 크로스 체인 정보 전송 시 위조된 악성 데이터를 수신하고 처리하게 되었다.

2. 치명적인 방어 구멍: 1/1 단일 서명 메커니즘

그러나 단순한 노드 오염만으로는 3억 달러에 가까운 자산을 즉시 탈취할 수 없다. 암호화 KOL Richard Heart가 날카롭게 지적했듯이, 관련 핵심 단계에는 1/1(단일 서명)의 권한 설정이 존재했다. 이는 수억 달러의 유동성을 지닌 금고의 문이 단순한 일반 자물쇠로 잠겨 있다는 것을 의미한다. 시간 잠금 장치도 없고, 다중 서명 제어도 없으며, 바닥 데이터가 오염되었을 때 해커는 "무적 통행증"을 얻은 것처럼 단일 지점에서 돌파하여 역사적인 자금 대이동을 완료했다.

3. 자금 추적: Lazarus Group의 세탁 네트워크

유명한 체인 데이터 기관 Chainalysis와 우설 블록체인의 추적 분석은 공격자의 신원을 더욱 확인시켰다: 의심되는 북한 국가급 해커 조직 Lazarus Group. Chainalysis의 데이터에 따르면, 도난당한 자금은 매우 짧은 시간 안에 고도로 시스템화되어 집합되었고, 크로스 체인 브리지와 믹서와 같은 전형적인 북한 해커 세탁 경로를 통해 빠르게 이더리움 메인넷으로 이동했다. 이러한 국가급 APT 조직의 등장으로 원래 취약했던 DeFi 방어선은 종이처럼 쉽게 무너졌다.

2. 연좌 효과와 로생문: DeFi 레고의 시스템적 취약성

사고 발생 후, "누가 책임을 질 것인가"에 대한 소동이 즉시 벌어졌다.

• Kelp DAO와 LayerZero의 상호 비난: Kelp DAO는 LayerZero를 겨냥하여 그들의 크로스 체인 인프라의 취약점이 재앙을 초래했다고 주장했다; 반면 LayerZero는 크로스 체인 프로토콜은 무사하다고 주장하며, 프로젝트 측이 RPC 노드 데이터에 대해 맹목적으로 신뢰한 것이 잘못이라고 했다.

• 무고하게 피해를 입은 Aave: 가장 극적이고 깊은 생각을 하게 하는 것은 Aave의 상황이다. Kelp DAO의 자산(예: rsETH)이 Aave에서 널리 담보로 사용되었기 때문에 Kelp DAO의 도난은 즉시 이러한 담보의 가치를 제로로 만들었다. 여러 업계 관찰자들이 말했듯이, "이 일은 Aave의 잘못이 아니다." Aave의 방어선은 생태계 파트너에 의해 외부에서 "무너졌다", 비록 Aave가 Umbrella 보호 기금을 사용하여 손실을 보전할 것이지만, 이는 DeFi 레고의 "연좌" 위기를 완전히 드러냈다.

이것은 Chainlink 커뮤니티의 Zach Rynes의 경고를 입증한다: Restaking(재질권) 트랙은 이더리움에 과도한 레버리지를 추가하고 있으며, 바닥이 무너질 경우 시스템적 파괴력은 측정할 수 없을 것이다.

3. 영혼의 질문: DeFi의 수익과 위험이 심각하게 불일치하고 있는가?

이 사건 속에서 OneKey의 Yishi는 핵심적인 관점을 제시했다: 시장은 곧 위험을 재평가할 것이다.

오랫동안 소액 투자자와 기관은 DeFi에서 단일 수치의 APY(연간 수익률)나 허무맹랑한 "포인트"를 추구하며, 100%의 원금 제로 리스크를 조용히 감수해왔다. 이러한 위험과 수익의 심각한 불일치는 상승장에서는 가려졌지만, 해커의 도끼 아래에서 드러났다.

더 깊은 원인은 DeFi 프로토콜이 TVL(총 잠금량)을 확보하기 위해 일반적으로 "저비용" 모델을 채택하고 있다는 것이다. 미미한 프로토콜 수익은 국가급 해커를 방어하는 데 필요한 높은 보안 투자를 전혀 지원할 수 없다. 프로젝트 측은 "풀뿌리 팀"식의 극단적인 간소화된 구조로 수억 달러의 자산을 관리하고 있으며, 이는 본질적으로 "수익의 사유화, 위험의 사회화"라는 지속 불가능한 모델이다.

4. 기관화 자산 관리의 미래: 규제 수탁은 필수

스마트 계약과 탈중앙화 거버넌스가 우리의 원금을 보호할 수 없을 때, 산업은 현실적인 문제를 직시해야 한다: 미래의 기관화 대규모 자금에 대해, 우리는 독립적이고 전문적인 중앙화 규제 수탁을 다시 받아들여야 하는가?

Web3의 맥락에서 "중앙화 수탁"을 제안하는 것은 정치적으로 올바르지 않은 것처럼 보인다. 그러나 Drift Protocol과 Kelp DAO의 비극은 비즈니스 논리(스마트 계약)와 자금 보관(개인 키 제어)을 혼동하는 것이 매우 위험하다는 것을 알려준다.

거대한 자금을 관리하는 DeFi 프로젝트, 공공 블록체인 재단 및 기관 투자자에게 있어, 규제 수탁(Qualified Custody)을 도입하는 것은 역사적 퇴보가 아니라 금융 인프라의 성숙으로 가는 필연적 과정이다:

• 단일 실패 지점을 제거하고 권한과 책임을 분리하라:
  프로토콜 개발자는 비즈니스 논리의 혁신에 집중하고, 국고와 핵심 자산의 보관 권한을 독립적인 규제 수탁 기관에 맡겨야 한다. 규제 수탁 기관은 완벽한 기업급 리스크 관리 구조와 승인 흐름을 갖추고 있어 1/1 단일 서명 같은 터무니없는 "맨몸" 행동을 완전히 차단할 수 있다.

• 체인 논리와 독립적인 의도 리스크 관리:
  해커는 RPC 노드를 속일 수 있고, 코드 취약점을 이용할 수 있지만, 규제 수탁 기관의 독립적인 리스크 관리 엔진을 넘을 수는 없다. 시스템이 2.92억 달러의 비정상적인 전송 지시를 감지하면, 규제 수탁자의 리스크 관리 전략은 거래 의도에 따라 강력히 차단되며, 고객 확인, 규제 검토 및 다채널 검증을 강제로 도입하여 마지막 관문에서 자금을 방어한다.

• 파산 격리 및 신탁급 보호:
  면허를 가진 규제 수탁 기관인 Cactus Custody는 엄격한 규제 제약을 받으며, 고객 자산과 회사 운영 자산은 물리적 및 법적으로 완전히 격리된다(파산 격리). 이러한 금융 수준의 신탁 보호는 어떤 탈중앙화 코드도 제공할 수 없는 신뢰의 기반이다.

결론

Kelp DAO의 2.92억 달러는 단순히 고통스러운 교훈을 가져온 것뿐만 아니라 재질권 트랙의 허위 번영을 폭로했다. 기관 대자금이 빠르게 진입함에 따라, DeFi는 "작업장식" 자금 관리 모델과 작별해야 한다.

안전과 리스크 관리는 진정한 금전과 전문 시스템으로 뒷받침되어야 한다. 앞으로 규제 수탁에 접근할 수 없고 기관급 자산 보호를 제공할 수 없는 DeFi 프로토콜은 주류 자본에 의해 버려질 것이다. 규제 수탁 솔루션을 선택하는 것은 자산에 대한 책임일 뿐만 아니라, 어두운 숲 속에서 프로토콜의 장기 생존의 초석이 될 것이다.