북한 정부가 지원하는 해커 조직이 지난 토요일 KelpDAO DeFi 프로젝트에서 약 2억9천만 달러 상당의 암호화폐를 탈취한 사건의 배후로 지목되고 있다. 이번 공격은 KelpDAO뿐만 아니라 Compound, Euler, Aave 등 주요 렌딩 프로토콜에도 영향을 미쳤으며, Aave는 rsETH를 담보로 한 신규 예치 및 대출을 차단하는 조치를 취했다. KelpDAO는 이더리움 네트워크 기반의 탈중앙화 금융(DeFi) 프로젝트로, 사용자의 ETH를 예치받아 재스테이킹하고, 이를 대표하는 유동성 토큰 ‘rsETH’를 발행한다.
4월 18일, KelpDAO는 rsETH와 관련된 의심스러운 크로스체인 활동을 감지하고, 이더리움 메인넷과 L2에서 rsETH 계약을 일시 중단했다. 조사 결과, 약 116,500 rsETH(미화 약 2억9천3백만 달러 상당)가 탈취되어 Tornado Cash를 통해 흔적이 은폐된 것으로 나타났다. 공격자는 rsETH의 크로스체인 메시지 검증에 사용되는 DVN의 일부 RPC 노드를 해킹해 조작된 블록체인 데이터를 전달하고, 동시에 정상 노드에 DDoS 공격을 가해 시스템이 오염된 노드에 의존하도록 만들었다. 이로 인해 실제로 발생하지 않은 거래가 유효한 것으로 처리되어 무단으로 rsETH를 이동시킬 수 있었다.
LayerZero는 이번 공격의 정황상 북한의 Lazarus Group, 특히 TraderTraitor가 배후일 가능성이 높다고 밝혔다. 이번 사건은 rsETH에 국한된 것으로, 다른 앱이나 자산에는 확산되지 않았다고 덧붙였다. 한편, Lazarus Group은 올해 초 Drift Protocol에서 2억8천만 달러를 탈취한 사건에도 연루된 바 있으며, 해당 공격은 6개월에 걸친 치밀한 사전 준비와 내부 침투로 이루어진 것으로 밝혀졌다.
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.