2026년 4월 18일, 북한 해킹 조직 라자루스는 Kelp DAO의 LayerZero 브릿지에 위조된 메시지를 전송해 담보 없이 11만 6,500개의 rsETH(약 2,930억 원)를 발행, 46분 만에 탈취했다. 탈취된 가짜 rsETH는 Aave에 담보로 예치되어 약 2,760억 원 상당의 실제 WETH 대출에 사용됐다.
What happened in the Kelp DAO $293 million exploit—the largest DeFi breach of 2026—including how the North Korea-linked attacker exploited oThe Kelp DAO exploit wasn't a smart contract bug—it was an attack on off-chain bridge infrastructure that no one had audited.
AI 프롬프트
Create a landscape editorial hero image for this Studio Global article: What happened in the Kelp DAO $293 million exploit—the largest DeFi breach of 2026—including how the North Korea-linked attacker exploited o. Article summary: On April 18, 2026, North Korea's Lazarus Group executed the largest DeFi exploit of the year, draining ~$293 million (116,500 rsETH) from Kelp DAO's cross-chain bridge by attacking off-chain LayerZero infrastructure — no. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Kelp DAO exploit,DeFi security 2026,cross-chain bridge risks,crypto hack analysis,LayerZero vulnerability,institutional crypto adoption. # Kelp DAO Exploit: How a $293 Million DeFi" source context "Kelp DAO Exploit: $293M DeFi Hack Exposes Critical Security Risks ..." Reference image 2: visual subject "# The $290
openai.com
한국 시간 2026년 4월 19일 새벽, 탈중앙화 금융(DeFi, 디파이) 시장에 한 줄기 충격이 퍼졌습니다. 유동성 리스테이킹 프로토콜인 Kelp DAO의 크로스체인 브릿지가 뚫리며 단 46분 만에 11만 6,500개의 rsETH, 당시 시세로 약 **2,930억 원(2억 9,300만 달러)**이 탈취된 것입니다. 이는 해당 토큰 전체 유통량의 약 18%에 달하는 규모였습니다 .
공격의 배후는 북한의 라자루스 그룹(Lazarus Group)으로 지목되었습니다. 이들은 불과 18일 전, 6개월간의 사회공학적 침투 공격으로 Drift Protocol에서 2,850억 원을 탈취한 세력이기도 했습니다 . 이 두 건의 사건으로 올해 암호화폐 해킹 피해액의 76%가 북한 소행으로 기록되었죠 .
하지만 Kelp DAO 사건의 본질은 달랐습니다. 이번에는 단 한 줄의 스마트 계약 코드도 건드리지 않았습니다. 그들은 아무도 감사(audit) 대상으로 생각하지 않았던 '인프라'를 공격했습니다.
보이지 않는 다리를 무너뜨리다: 단 하나의 검증자, 그리고 위조된 메시지
이 공격의 핵심은 Kelp DAO가 rsETH를 20개 이상의 네트워크에서 사용할 수 있도록 구축한 LayerZero 기반의 옴니체인 대체 가능 토큰(OFT) 브릿지에 있었습니다 . 사용자가 이더리움 메인넷으로 rsETH를 이동시키려 하면, LayerZero의 메시징 레이어가 크로스체인 메시지를 전달하고, 메인넷의 브릿지 계약이 이를 확인해 에스크로(escrow, 조건부 보관)에서 토큰을 해제하는 방식입니다.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
"코드 한 줄 안 건드리고 2,930억 원을 탈취한 해킹의 전말"에 대한 짧은 대답은 무엇입니까?
2026년 4월 18일, 북한 해킹 조직 라자루스는 Kelp DAO의 LayerZero 브릿지에 위조된 메시지를 전송해 담보 없이 11만 6,500개의 rsETH(약 2,930억 원)를 발행, 46분 만에 탈취했다.
먼저 검증할 핵심 포인트는 무엇인가요?
2026년 4월 18일, 북한 해킹 조직 라자루스는 Kelp DAO의 LayerZero 브릿지에 위조된 메시지를 전송해 담보 없이 11만 6,500개의 rsETH(약 2,930억 원)를 발행, 46분 만에 탈취했다. 탈취된 가짜 rsETH는 Aave에 담보로 예치되어 약 2,760억 원 상당의 실제 WETH 대출에 사용됐다. 담보의 가치가 사라지면서 Aave는 막대한 부실 채권을 떠안았고, Arbitrum 보안 위원회는 공격자 소유 주소에 있던 854억 원 상당의 ETH를 긴급 동결하며 추가 피해를 막았다 [7][44][52].
실무에서는 다음으로 무엇을 해야 합니까?
이 사건으로 디파이 업계는 스마트 계약 코드 감사에만 집중하던 관행에서 벗어나, 크로스체인 브릿지의 검증자 구성, 노드 보안, 오프체인 메시징 레이어와 같은 인프라 전반의 취약성을 새롭게 평가하기 시작했다 [3][6][39].
이 메시지의 신뢰성을 담보하는 것은 탈중앙화 검증자 네트워크(DVN)입니다. 그런데 Kelp DAO는 이 DVN의 임계값을 ‘1-of-1’로 설정했습니다. 즉, 단 하나의 검증자만 동의하면 어떤 크로스체인 메시지라도 유효한 것으로 간주된 것입니다 .
공격자는 Kelp DAO의 내부 RPC 노드를 장악하고 외부 노드를 DDoS 공격으로 마비시킨 뒤, 이 유일하게 살아있는 검증자에게 "소스 체인에서 11만 6,500 rsETH가 소각되었다"는 위조된 메시지를 전송했습니다. 단일 검증자는 이 메시지를 승인했고, 이더리움 메인넷의 계약은 그대로 실행했습니다. 공격자가 통제하는 주소로 막대한 양의 토큰이 해제된 것입니다 .
블록체인 보안 기업 체이널리시스(Chainalysis)의 분석에 따르면, 이 공격은 완전히 오프체인 인프라 수준에서 일어났기 때문에 모든 온체인 거래 내역이 표준 보안 도구에 정상으로 보였습니다. 기존의 스마트 계약 감사 방식으로는 전혀 포착할 수 없는 공격이었던 셈입니다 .
다행히 Kelp DAO의 긴급 멀티시그(다중 서명)가 46분 만에 계약을 정지시키며 약 2,000억 원 상당의 추가 자산 유출을 막아냈지만, 이미 큰 피해가 발생한 뒤였습니다 .
2,640억 원의 자금 세탁, 6주 만에 흔적을 지우다
공격자들은 탈취한 자산을 그냥 두지 않았습니다. 불과 몇 시간 만에 11만 6,500개 중 8만 9,567개의 가짜 rsETH를 대출 프로토콜 Aave V3에 담보로 예치하고, 약 8만 2,650 WETH와 821 wstETH, 즉 실제 가치가 있는 깨끗한 유동성 자산을 대출받았습니다. 유사한 방식으로 컴파운드(Compound)와 오일러(Euler)까지 공격해 총 7만 4,000여 개의 깨끗한 ETH를 확보했습니다 .
이후 6주간 본격적인 자금 세탁이 시작되었습니다. 동결되지 않은 약 2,640억 원(2억 2,000만 달러)의 자금이 세탁되었고, 6월 1일 기준으로 최초 해커 지갑에 남아 추적 가능한 금액은 고작 20억 원(170만 달러) 정도에 불과했습니다 . 이들의 자금 세탁 경로는 두 단계로 정교하게 나뉘어 있었습니다.
1단계: 암호화폐 믹서인 토네이도 캐시(Tornado Cash)를 이용해 최초의 온체인 연결 고리를 끊어 거래 그래프를 모호하게 만들었습니다 .
2단계: 와사비 월렛(Wasabi Wallet)을 통해 비트코인으로 전환하며 코인조인(CoinJoin) 방식의 믹싱을 진행했습니다. 그 후 THORChain 같은 크로스체인 프로토콜을 이용해 다시 이더리움으로 브릿징했습니다. 특히 THORChain은 단 하루 만에 약 960억 원(8,000만 달러) 상당의 이더리움을 비트코인으로 스왑 처리하며, 일일 평균 거래량의 11배에 달하는 4,730억 원(3억 9,400만 달러)의 거래량을 기록하기도 했습니다 .
TRM Labs의 확인에 따르면, THORChain은 2025년 바이비트(Bybit) 해킹 사건 때부터 북한의 대규모 해킹 자금 세탁을 위한 주요 루트로 사용되어 왔으며, 어떤 운영자도 이 전송을 동결하거나 거부하지 않았습니다 . 이는 탈중앙화된 프로토콜이 범죄 조직의 자금 세탁 통로로 변질될 수 있다는 심각한 윤리적, 구조적 문제를 제기합니다.
여기에 NS3.AI의 조사로 더욱 충격적인 사실이 밝혀졌습니다. 공격자들은 자금 세탁 과정에서 최초 공격에 사용된 바로 그 LayerZero를 다시 이용해 최소 6억 원(50만 달러) 이상을 다른 체인으로 옮긴 정황이 포착된 것입니다. 동일한 애플리케이션이 해킹과 자금 세탁에 모두 사용된 첫 사례로 기록되었습니다 .
850억 원을 구해낸 아비트럼의 긴급 처방, 그리고 논란
모든 자금이 완벽하게 사라진 것은 아닙니다. 4월 20일(현지 시간), 아비트럼(Arbitrum) 보안 위원회는 긴급 조치를 발동해 해커가 아비트럼 원(Arbitrum One) 네트워크에 보유 중이던 3만 766 ETH, 당시 가치로 약 854억 원(7,100만 달러)을 동결했습니다. 이는 전체 탈취 금액의 약 4분의 1에 해당하는 규모였습니다 .
위원회는 법 집행 기관과의 공조 하에 12명의 위원 중 9명의 찬성으로 자금을 거버넌스가 통제하는 중간 지갑으로 옮겼습니다. 이 자금은 향후 공식적인 아비트럼 거버넌스 투표를 통해서만 해제될 수 있습니다 . 이는 '코드는 법이다'라는 불문율 아래 움직이던 디파이 세계에서 거버넌스 주체가 적극적으로 개입해 피해를 복구한 이례적인 사례로, 탈중앙화의 원칙과 현실적 대응 사이에서 큰 논쟁을 불러일으켰습니다.
이후 5월 8일, 아비트럼 보안 위원회는 rsETH 담보물 회수와 피해 사용자들의 유동성 복구를 위해 동결된 자금을 해제하는 공동 제안을 승인했으며, 법 집행 기관의 개입 하에 복구 절차가 진행 중에 있습니다 .
연쇄 폭발의 중심, Aave의 2,760억 원 충격과 리스크 프레임워크 전면 개편
이번 사건으로 가장 큰 2차 피해를 입은 곳은 분산형 대출 프로토콜 Aave였습니다. 공격자가 예치한 8만 9,567개의 가짜 rsETH를 담보로 약 **2,760억 원(2억 3,000만 달러)**의 실제 자산이 대출되었고, 이는 담보의 가치가 '0'이 되면서 고스란히 회수 불가능한 부실 채권으로 남았습니다 .
Aave의 프로토콜 가디언(Protocol Guardian)은 해킹 당일인 4월 18일 오후 7시경(UTC)에 모든 V3 배포망에서 rsETH와 wrsETH의 준비금을 긴급 동결하고, 이들 자산의 담보 인정 비율(LTV)을 0%로 낮췄습니다. 이 조치로 이더리움, 아비트럼, 아발란체, 옵티미즘 등 총 11개 네트워크에서 신규 공급 및 대출이 중단되었으며, 특히 WETH를 담보로 한 대출 역시 6개 네트워크에서 얼어붙으며 디파이 시장 전체의 핵심 금융 배관이 막혀버렸습니다 .
2026년 5월 중순 기준으로 담보가 없는 토큰의 95% 이상이 회수되었고, 남은 부족분은 Aave DAO 금고와 ‘DeFi United’ 연합을 통해 충당될 예정입니다 . 5월 18일에는 6개 V3 네트워크에서 WETH 대출 한도가 정상화되었습니다 .
하지만 이 사건의 진정한 유산은 거버넌스 차원의 대응에 있습니다. 마이애미에서 열린 Consensus 2026 컨퍼런스에서 Aave Labs의 법률·정책 책임자(CLPO) Linda Jeng은 프로토콜의 자산 상장 및 담보 평가 기준을 근본적으로 개편할 것이라고 발표했습니다 . 이제 Aave의 새로운 리스크 평가 프레임워크는 기존의 재무적 위험 지표를 넘어 다음 요소들을 포괄하게 됩니다.
사이버 보안 취약성 및 운영 보안 태세
브릿지 인프라 의존성 및 단일 검증자 리스크
오라클 의존성 및 서드파티 계약 노출 위험
수탁 방식 및 구성 가능한 프로토콜 간 상호 운용성 위험
이미 Aave는 295개의 리스크 파라미터를 조정했을 뿐만 아니라, 사전 정의된 리스크 임계값을 초과할 경우 자산의 LTV를 0%로 자동 낮추는 방어 시스템을 추가했습니다 . 나아가 V3에 상장된 모든 자산에 대한 전면적인 재검토에 착수하고, 상장 기준 자체를 백지 상태에서 다시 쓰는 작업에 들어갔습니다 .
디파이의 새로운 1순위 공격 표면, '브릿지'
Kelp DAO 사건은 고립된 사고가 아닙니다. 18일 전인 4월 1일, 동일하게 라자루스 그룹에 의한 사회공학적 공격으로 Drift Protocol에서 2,850억 원이 탈취된 사건에 이은, 두 번째 대규모 브릿지 공격이었습니다 . 이 두 사건으로 2026년 초 디파이 시장의 총 손실액은 1조 원(8억 4,000만 달러)을 넘어섰습니다 .
더 큰 문제는 이 파장이 단일 프로토콜의 손실을 넘어 생태계 전체의 유동성 위기를 촉발했다는 점입니다. Kelp DAO 해킹 후 48시간 동안 디파이 시장 전체에서 약 **158조 5천억 원(132억 1천만 달러)에 달하는 총 예치 자산(TVL)**이 증발했으며, Aave 단일 프로토콜에서만 추적된 26개 프로토콜 기준 TVL의 43%가 사라졌습니다 . 약 64조 8천억 원(54억 달러) 규모의 자금 이탈 패닉이 생태계를 휩쓸었습니다 .
체이널리시스가 지적했듯, 이번 공격은 디파이 업계의 치명적인 구조적 사각지대, 즉 스마트 계약 감사에만 지나치게 집중한 나머지 브릿지 인프라, 노드 운영 보안, 단일 검증자 구성 같은 핵심 위험 요소들을 간과해 왔다는 점을 여실히 드러냈습니다 .
이 문제를 해결하기 위한 업계의 움직임도 빨라지고 있습니다. 여러 프로토콜이 다중 검증자(Multi-verifier) 기반의 브릿지 구성으로 신속히 전환하고 있습니다. Aave는 자산 발행자들을 위한 공식 플레이북을 발간하여, rsETH와 같은 파생상품이 담보로 인정받기 위해서는 브릿지 아키텍처, 검증자 탈중앙화 수준, 노드 보안 관행 등을 의무적으로 공개하도록 하는 등 훨씬 엄격한 기준을 제시할 예정입니다 .
라자루스 그룹은 결국 우리가 '감사하는 것'과 우리가 실제로 '의존하는 것' 사이의 거대한 틈을 파고들었습니다. 업계의 대응은 이 균열이 마침내 메워지고 있음을 보여주지만, 그 대가는 2,930억 원이라는 너무나도 값비싼 수업료였습니다.
thestreet.com
Major DeFi hack becomes the largest of 2026 yet - TheStreet Crypto
Comments
0 comments