공격자가 Kelp DAO의 LayerZero 브리지에서 116,500 rsETH를 탈취하여 9개 프로토콜에 긴급 동결과 Aave의 60억 달러 TVL 하락을 초래했습니다.
TVL 15억 7,000만 달러 규모의 리퀴드 리스테이킹 프로토콜 Kelp DAO가 4월 18일 공격자가 LayerZero 기반 크로스체인 브리지의 취약점을 악용하면서 약 2억 9,300만 달러를 잃었습니다. 이는 2026년 최대 DeFi 익스플로잇입니다.
공격자는 LayerZero의 메시징 레이어를 통해 위조된 크로스체인 메시지를 생성하여 Kelp의 브리지가 다른 네트워크에서 유효한 지시가 도착했다고 믿게 만들었습니다. 브리지는 토큰 전체 유통량의 약 18%에 해당하는 116,500 rsETH를 공격자가 제어하는 주소로 방출했습니다.
몇 분 만에 탈취된 rsETH는 Aave의 대출 프로토콜에 담보로 예치되었고, 커뮤니티가 무담보 담보를 감지하기 전에 공격자는 2억 달러 이상의 wrapped ether를 빌렸습니다. Kelp는 최초 익스플로잇 발생 약 46분 후 긴급 통제를 가동하여 예치, 출금, 오라클 기능 및 rsETH 토큰 자체를 동결했습니다.
피해는 Kelp를 훨씬 넘어 확산되었습니다. 최소 9개의 DeFi 프로토콜이 시장 동결이나 피해 통제 조치를 서둘러 시행했습니다. Aave는 총 잠금 가치에서 60억 달러 하락을 기록했고, AAVE 토큰은 트레이더들이 프로토콜 대출 풀의 무담보 담보 리스크를 반영하면서 16% 하락했습니다.
이번 익스플로잇은 크로스체인 브리지 인프라의 지속적인 취약점을 부각시킵니다. 수년간의 대형 브리지 해킹에도 불구하고, 수십 개 프로토콜의 상호운용성을 뒷받침하는 LayerZero 메시징 레이어가 위조된 지시에 취약한 것으로 드러났습니다. 이 사건은 리퀴드 리스테이킹 프로토콜이 여러 체인으로 확장하면서 브리지 보안을 어떻게 관리하는지에 대한 새로운 의문을 제기합니다.
분석가들은 가장 현실적인 자금 회수 경로가 해커와 10-15% 보상금 협상을 통해 도난 자금의 대부분을 돌려받는 것이라고 제안합니다. Kelp DAO는 근본 원인을 조사하기 위해 LayerZero, 감사 기관, 보안 회사와 협력하고 있다고 밝혔습니다. Aave 창립자 Stani Kulechov는 Aave 자체의 스마트 컨트랙트는 손상되지 않았음을 확인했지만, V3의 rsETH 시장은 해결 시까지 동결 상태를 유지하고 있습니다.
이것은 진행 중인 뉴스입니다. Kelp DAO는 복구 작업이 계속되는 동안 공식 채널만을 통해 업데이트를 확인할 것을 사용자들에게 당부했습니다.
A CAPO oracle misconfiguration on Aave caused 34 users to lose positions worth $27M, with full reimbursement pledged by the DAO.
Key Aave contributor BGD Labs will end all technical work on April 1, citing centralization concerns and friction with Aave Labs over v4 development.
The DeFi lending protocol faces internal conflict over brand control and fee allocation, triggering a whale sell-off while founder Stani Kulechov buys the dip.
면책 조항: 뉴스 콘텐츠는 정보 제공 목적으로만 사용되며 금융 조언으로 간주되어서는 안 됩니다. 시장 상황은 빠르게 변할 수 있습니다. 항상 직접 조사하세요.
