Kelp DAO는 layerzero가 주장한 rsETH 브리지 익스플로잇으로 인한 2억 9천만 달러 피해에 대해, 문제가 특이한 설정이 아니라 플랫폼 자체의 기본값에서 비롯되었다고 반박하고 있습니다. 현재 분쟁의 핵심은 누가 키와 코드, 그리고 경고에 대한 통제권을 가지고 있었는지에 맞춰져 있습니다.
Summary
익스플로잇에서 무슨 일이 있었나
토요일, 공격자들은 전송 검증에 사용되는 서버를 오염시킨 뒤, LayerZero 기반 브리지를 통해 약 2억 9천만 달러 상당의 116,500 rsETH를 Kelp에서 탈취했습니다. 이번 공격은 Kelp의 핵심 리스테이킹 컨트랙트에는 손을 대지 않았고, 비상 정지는 46분 후에 발동되었습니다.
이 정지 조치는 추가로 약 2억 달러 상당의 rsETH가 빠져나갈 수 있었던 두 차례의 후속 시도를 막았습니다. 또한 Kelp의 대응에 정통한 소식통은 이번 침해가 브리지 레이어에만 국한되었다고 전했습니다.
Kelp가 설명하는 설정 방식
Kelp는 이번에 손상된 DVN이 프로토콜이 선택한 서드파티 검증자가 아니라, LayerZero 자체 인프라였다고 주장할 계획입니다. 코인데스크가 검토한 메모에 따르면, 이번 공격은 크로스체인 트랜잭션의 정당성을 확인하는 LayerZero 서버를 악용했습니다.
그러나 Kelp 측 소식통은 백업 서버들이 쓰레기 트래픽으로 범람하면서, 검증 작업이 손상된 노드로 밀려났다고 말했습니다. 이 모든 인프라는 LayerZero가 구축하고 운영한 것이라고 이 소식통은 덧붙였습니다.
프로토콜은 또한 단일 검증자 설정에서 벗어나라는 권고를 무시했다는 주장에도 이의를 제기하고 있습니다. 2024년 7월부터 열려 있던 직접 소통 채널을 통해, Kelp는 rsETH DVN 구성을 변경하라는 구체적인 권고를 받은 적이 없었다고 말합니다.
왜 이 구성에 의문이 제기되는가
LayerZero의 사후 분석에 따르면, KelpDAO는 다중 DVN 중복 구성을 사용하라는 권고에도 불구하고 1-of-1 DVN 설정을 선택했습니다. 실제로 1/1 구성은 단 한 명의 검증자만으로도 크로스체인 메시지를 승인할 수 있음을 의미하며, 다중 검증자 설정은 단일 장애 지점의 위험을 줄여줍니다.
더 나아가 Kelp 측 소식통은 LayerZero의 자체 퀵스타트 가이드와 기본 GitHub 구성 역시 동일한 1/1 구조를 가리키고 있다고 말했습니다. 이 소식통은 현재 LayerZero 상의 프로토콜 중 40%가 이 설정을 사용하고 있다고 덧붙였습니다.
동일한 구성은 LayerZero의 V2 OApp 퀵스타트에서도 나타나며, 예시 파일인 layerzero.config.ts는 필수 DVN 하나만을 지정하고 선택적 DVN은 두지 않습니다. Kelp는 자신들이 그대로 따랐다고 주장하는 모델이 바로 이것입니다.
비판자들은 책임 전가라고 말한다
보안 연구자들도 이에 반발하고 있습니다. Yearn Finance 코어 팀 개발자이자 X에서 @banteg로 알려진 Artem K는, LayerZero의 공개 배포 코드가 이더리움, BSC, 폴리곤, 아비트럼, 옵티미즘 전반에서 단일 소스 검증을 기본값으로 사용하고 있다고 지적했습니다.
그는 또한 이 배포 방식이 공개 엔드포인트를 노출시켜, 누구든지 쿼리만 하면 설정된 서버 목록을 확인할 수 있게 만든다고 덧붙였습니다. 다만 그는 Kelp가 실제로 어떤 구성을 사용했는지는 입증할 수 없다고 말했습니다.
체인링크 커뮤니티 매니저 Zach Rynes는 X에서 더 날을 세우며, LayerZero가 책임을 회피하고, LayerZero 자신이 지원했던 설정을 신뢰했다는 이유로 Kelp를 희생양 삼고 있다고 비판했습니다. 그는 회사가 자신들의 손상된 인프라에 대한 책임을 전가하려 한다고 말했습니다.
코인데스크는 LayerZero에 논평을 요청했으나, 기사 마감 시점까지 답변을 받지 못했다고 전했습니다. 한편 LayerZero는 단일 검증자 설정을 사용하는 어떤 애플리케이션에 대해서도 메시지 서명을 중단하겠다고 밝혔으며, 이는 네트워크 전반에 걸친 더 광범위한 마이그레이션을 강제하게 될 것입니다.
결국 이번 layerzero 사건에 대한 공방은 더 이상 하나의 브리지만을 둘러싼 문제가 아닙니다. 이는 크로스체인 보안에서 문서화, 기본값, 그리고 책임 소재를 가늠하는 시험대가 되었습니다.
