아비트럼, "해커인 척"하며 켈프다오 탈취 자금 "회수"
아비트럼, "해커인 척"하며 켈프다오 탈취 자금 "회수"
디파이(DeFi) 세계에서, 익스플로잇(exploitation, 시스템 취약점을 이용한 공격) 거래가 기록되는 것으로 이야기가 끝나는 경우는 드뭅니다. 2026년 최대 디파이 보안 사건으로 널리 알려진 켈프다오(KelpDAO) 사건에 예상치 못한 후일담이 추가되었습니다. 아비트럼(Arbitrum)이 긴급 온체인 조치를 실행하여 공격자 주소를 사칭하고, 약 30,765 ETH를 동결된 금고 주소로 옮겨, 아비트럼 원(Arbitrum One)에 남아있던 자금을 사실상 "회수"(정확히는 동결 및 압류)했습니다.
이 글에서는 사건의 전말, 작동 방식, 그리고 2025~2026년 빠르게 변화하는 암호화폐 보안 환경에서 레이어 2, 크로스체인 브릿지, 리스테이킹/유동적 리스테이킹 토큰을 사용하는 모든 사람에게 이것이 무엇을 의미하는지 분석합니다.
사건 개요: 2억 9,200만 달러 브릿지 공격부터 체인 전반에 흩어진 ETH까지
켈프다오 익스플로잇 (2026년 4월 18일)
여러 사건 분석에 따르면, 공격은 2026년 4월 18일 17:35 UTC경에 시작되었으며, 켈프다오의 rsETH 크로스체인 설정(레이어제로(LayerZero) 스타일 메시징 및 검증 기반)을 중심으로 이루어졌습니다. 간단히 말해, 공격자는 크로스체인 메시지를 위조/검증하여 단일 실패 지점(예: "1-of-1" 검증)을 생성하는 구성으로 악용했습니다. 이를 통해 합법적인 브릿지 인출이 발생한 것처럼 자산이 인출될 수 있었습니다.
기술적이면서도 이해하기 쉬운 분석을 원한다면, 다음 자료들을 참고하는 것이 좋습니다.
- 아베 거버넌스 사고 보고서 (높은 신뢰도와 구체적인 타임라인): rsETH Incident Report (April 20, 2026)
- 블록에이드(Blockaid) 분석 (위협 모델 관점): How a Single LayerZero DVN Compromise Drained $292M from KelpDAO
- 하이퍼네이티브(Hypernative) 심층 분석 (크로스체인 메시지 의미론): The KelpDAO Observation-Layer Exploit
- 산업 요약 및 맥락 (영어): TechFlow report on the KelpDAO exploit
아비트럼에 남은 "잔여" 자금: 약 30,765 ETH
대규모 익스플로잇 이후, 자금은 일반적으로 분산됩니다. 브릿지, 스왑, 홉 경로 등을 통해 여러 네트워크로 자산이 흩어집니다. 이 경우, 아비트럼 원에 상당한 양의 ETH가 남아 있었습니다. 약 30,765.6675 ETH로, 보도 시점 기준 7,000만 달러 이상의 가치였습니다.
반전: 아비트럼, 공격자 사칭으로 자금을 동결 금고로 이동 (2026년 4월 21일)
2026년 4월 21일 (미국 동부 표준시 오후 11시 26분), 아비트럼 보안 위원회는 긴급 조치를 실행했습니다. 이 조치는 다음과 같은 내용을 포함했습니다.
- 아비트럼 시스템 계약(이더리움의 Inbox 계약)을 일시적으로 업그레이드했습니다.
- 트랜잭션 발신자를 사칭할 수 있는 L1 → L2 메시지를 활성화하는 함수를 추가했습니다.
- 공격자 주소에서 보낸 것처럼 보이는 크로스체인 트랜잭션을 전송했습니다.
- ETH를 0x0000000000000000000000000000000000000DA0 (지정된 동결 주소)으로 이체했습니다.
- 그런 다음 업그레이드 창을 최소화하도록 설계된 "원자적(atomic)" 운영 패턴에 따라 계약을 원래 구현으로 다시 업그레이드했습니다.
주요 출처:
뉴스 요약 (중국어):
포럼 게시글에서 특정 온체인 아티팩트도 확인할 수 있습니다.
이것이 사람들이 " 아비트럼이 해커인 척하며 돈을 되찾았다"고 요약하는 이유입니다. 기술적으로는 아비트럼의 업그레이드/관리 기능을 활용한 거버넌스 승인 긴급 절차였습니다.
중요성: 단순한 구출 이야기가 아닌, 탈중앙화 현실 점검
1) "코드는 법이다" 대 "보안 위원회는 법이다"
암호화폐 산업은 수년간 "모든 곳에 있는 관리자 키"에서 점진적인 탈중앙화로 나아왔습니다. 하지만 레이어 2 보안 위원회와 긴급 권한은 여전히 빠른 대응을 위해 존재합니다.
아비트럼의 조치는 냉정한 현실을 보여줍니다.
- 네트워크가 핵심 계약을 업그레이드할 수 있다면, 비상 상황에서 자금 통제 주체를 변경할 수도 있습니다.
이것은 순수하게 좋거나 나쁘다고 할 수 없지만, 체인과 프로토콜을 선택할 때 사용자들이 반드시 고려해야 할 위험 요소입니다.
이러한 절충점을 체계적으로 평가하려면 다음의 중립적인 인프라 대시보드를 확인하는 것이 도움이 됩니다.
2) 2025~2026년에도 크로스체인 브릿지 위험은 최상위 위협
감사와 공식 검증이 발전했음에도 불구하고, 브릿지 구성과 검증 가정은 여전히 빈번한 실패 지점입니다. 켈프다오 사례는 반복되는 패턴을 강화합니다.
- 취약점은 종종 단 하나의 "버그가 있는 솔리디티 코드"가 아니라, 조용한 단일 실패 지점을 만드는 시스템 설계/구성 결정인 경우가 많습니다.
공개 데이터를 통해 익스플로잇 동향을 추적하면 이러한 사건의 빈도를 이해하는 데 도움이 됩니다.
3) 선례 문제: 자금을 "압류"하는 것이 허용되는 경우는 언제인가?
아비트럼의 움직임은 암호화폐 트위터, 거버넌스 포럼, 연구 서클 전반에 걸쳐 논쟁을 불러일으킬 것입니다.
- 탈취된 자금을 동결하는 것이 허용된다면, 제재된 자금을 동결하는 것도 허용되는가?
- 소유권 분쟁, 프로토콜 지급 불능, 또는 법원 명령은 어떻게 되는가?
- "긴급 상황"의 자격을 누가 결정하며, 이에 대한 안전 장치는 무엇인가?
사용자를 위한 핵심은 이러한 권한이 존재한다는 것이며, 사용자의 위험 모델은 이를 반영해야 한다는 것입니다.
실질적인 디파이 사용자 고려 사항: 켈프다오 이후 달라져야 할 점
1) 브릿지와 "옴니체인 자산"을 단일 체인 자산보다 더 높은 위험으로 취급
전략이 브릿징(또는 브릿징된 표현물을 보유)에 의존한다면 다음을 고려하십시오.
- 브릿징된 자산의 포지션 규모 제한
- 더 강력하고 다자간 검증 가정의 경로 선호
- "새로운 체인 + 새 브릿지 + 새 LRT" 스택은 꼬리 위험(tail risk)을 감수할 수 있는 경우가 아니면 피하십시오.
2) 모든 승인을 잠재적 손실 이벤트로 간주
수억 달러 규모의 사건은 궁극적으로 사용자가 재확인하지 않는 **승인(allowances), 서명(signatures), 권한 표면(permission surfaces)**을 통해 수익화됩니다.
여전히 유효한 기본적인 위생 관리:
- 장기 보유와 활성 디파이를 위한 별도 지갑 사용
- 주기적으로 승인 취소 (특히 새로운 프로토콜과 상호작용한 후)
- 도메인 신중하게 확인 (주요 사건 직후 피싱 급증)
3) 하드웨어 지갑은 도움이 되지만, 의도적으로 사용할 때만
하드웨어 지갑이 디파이를 마법처럼 안전하게 만들 수는 없지만, 키를 오프라인으로 유지하고 민감한 작업에 대한 명시적 확인을 강제함으로써 특정 유형의 위험을 실질적으로 줄일 수 있습니다.
OneKey을 사용한다면 가장 관련 있는 습관은 다음과 같습니다. 서명 단계에서 속도를 늦추십시오. 모든 서명/승인을 실제 재정적 결정으로 취급하십시오. 특히 공격자가 사용자 긴급성을 이용하는 고속 L2 환경에서는 더욱 그렇습니다.
앞으로의 과제: 동결된 자금의 해제 여부는 거버넌스가 결정
아비트럼의 포럼 게시글은 명확합니다. ETH는 동결되었으며, 이를 해제하려면 이후 아비트럼 거버넌스의 조치가 필요합니다 (아마도 피해 당사자 및 진행 중인 조사와의 조정을 통해). 공식 문구와 진행 중인 논의는 다음에서 확인할 수 있습니다.
즉, "회수" 장은 깔끔한 반전이 아니라, 거버넌스, 법률, 사회적 조정 과정의 시작입니다.
마무리 생각
켈프다오의 익스플로잇과 아비트럼의 긴급 대응은 2025~2026년 암호화폐의 핵심 주제를 강조합니다. 보안은 더 이상 단순한 스마트 계약에 관한 것이 아니라, 구성, 크로스체인 가정, 그리고 거버넌스 권한에 관한 것입니다.
오늘날 디파이에 참여한다면, 사용자의 우위는 단순한 수익률이 아니라, 문제가 발생했을 때 진정한 통제권이 어디에 있는지 이해하는 것입니다.
