Kelp DAO는 rsETH 크로스체인 브리지에서 발생한 명백한 익스플로잇으로 약 116,500 rsETH(공격 시점 약 2억 9,200만 달러 상당)를 탈취당한 이후 중대한 보안 위기에 직면해 있습니다. 보고서와 온체인 데이터를 토대로 보면, 공격자는 LayerZero 메시징을 이용해 Kelp DAO 브리지 시스템에서 자금을 해제시킨 것으로 보입니다. rsETH가 DeFi, 특히 대출 플랫폼에서 담보로 널리 사용되기 때문에 이 사건은 암호화폐 시장 전반에 빠르게 퍼졌습니다.
이 사안이 중요한 이유는 rsETH가 유동적인 리스테이킹 토큰이기 때문입니다. 즉 사용자는 이더리움 스테이킹에 연동된 자산을 예치하고, 스테이킹 노출을 유지한 채 이동·거래·DeFi 활용이 가능한 토큰을 받게 됩니다. Kelp DAO는 rsETH를 여러 블록체인에서 작동하도록 구축했으며, 여기서 위험이 커졌습니다. LayerZero의 OFT(Omnichain Fungible Token) 표준은 하나의 토큰을 여러 체인에 걸쳐 공유 공급량을 유지하면서 이동하도록 설계되었습니다. 이는 크로스체인 사용을 용이하게 하지만, 동시에 브리지 보안이 토큰 안전의 핵심이 됨을 의미합니다.
보고에 따르면 첫 번째 성공적인 탈취는 17:35 UTC에 발생했습니다. Kelp DAO는 약 46분 뒤 비상 정지 멀티시그를 사용해 핵심 계약을 일시정지했습니다. 이 정지는 이후 시도된 40,000 rsETH 추가 탈취 두 차례를 차단한 것으로 보입니다. Kelp는 의심스러운 크로스체인 활동을 확인했으며, 원인 조사를 위해 LayerZero, Unichain, 감사기관 및 외부 보안 전문가와 협력하고 있다고 밝혔습니다. 간단히 말해 이번 공격은 일반 지갑이나 프론트엔드 버그가 아니라 rsETH가 네트워크 간 이동을 가능하게 하는 브리지 로직을 겨냥한 것으로 보입니다.
공격에 연루된 지갑이 사건 이전에 Tornado Cash를 통해 자금을 조달했다는 점도 우려를 불러일으켰습니다. DeFi 익스플로잇에서 이는 흔히 자금 흐름을 숨기려는 시도로 해석됩니다. 블록체인 조사자 ZachXBT는 사건 발생 직후 이 공격을 표시했으며, 시장 관찰자들은 rsETH 공급 중 얼마나 많은 부분이 영향을 받았는지에 주목하기 시작했습니다. 보고서에 따르면 도난된 양은 유통 중인 rsETH의 약 18%에 해당하며, 이는 대출 시장, 가격 피드 및 위험 시스템 전반에 스트레스를 일으키기 충분히 큰 비율입니다.
이 때문에 Aave는 신속히 대응했습니다. Aave는 V3와 V4에서 rsETH 시장을 동결했고, 자체 스마트 계약이 익스플로잇의 원인이 아니라고 밝혔습니다. Aave에게 더 큰 문제는 부실채권(bad debt)입니다. 대출에서는 담보 가치가 하락하거나 제때 청산되지 않을 때 부실채권이 발생할 수 있습니다. Aave 문서에서도 브리지와 네트워크 위험이 이 문제를 악화시킬 수 있다고 명시하고 있습니다. Aave의 Umbrella 시스템은 결손을 메우기 위해 설계된 자동 온체인 위험 도구였지만, 이후 Aave는 공개 입장을 완화하고 이번 사건으로 인한 결손을 상쇄할 방안을 모색하겠다고 밝혔습니다.
이번이 rsETH 관련 최초 문제는 아닙니다. Kelp DAO는 2025년 4월에도 수수료 계약 버그로 인해 초과 rsETH가 발행된 뒤 입출금을 일시 중단한 적이 있습니다. 그때는 사용자 자금이 손실되지 않았다고 했지만, 이번 익스플로잇은 규모가 큰 직접적인 자금 손실을 동반하고 있어 훨씬 심각합니다. 이러한 이력이 중요한 이유는, 암호화폐에서는 하나의 사건이 단순 실수로 여겨질 수 있지만 1년 안에 두 차례 발생하면 설계·테스트·운영 통제에 대한 더 강도 높은 질문을 제기하기 때문입니다.
Kelp
