Arbitrum이 해커를 흉내 내어 KelpDAO의 손실 자금을 ‘탈취’해 왔다
작가: TechFlow
지난주 KelpDAO가 해커에게 약 3억 달러 상당의 자산을 도난당하며, 올해 DeFi 분야에서 지금까지 발생한 최대 규모의 보안 사고가 되었다.
도난당한 ETH는 현재 여러 블록체인에 흩어져 있으며, 그 중 약 30,765개는 Arbitrum 체인의 한 주소에 남아 있어, 시장 가치로 약 7,000만 달러에 달한다.
이 사건은 이미 막을 내린 것으로 여겨졌으나, 오늘 또 새로운 전개가 있었다.
체인상 보안 기관 PeckShield에 따르면, 몇 시간 전 Arbitrum 체인의 해커 주소에 보관된 자금이 이체되었으나, 이상하게도 이 자금은 거의 전부 0으로 채워진 ‘0x00000...’ 형태의 특이한 주소로 전송되었다.
당시 커뮤니티에서는 “해커가 스스로 자금을 블랙홀 주소에 보내 소각한 것인가? 아니면 양심의 가책을 느꼈거나 당국에 투항한 것인가?”라고 추측했다.
그러나 둘 다 아니다.
몇 시간 전, Arbitrum 공식 포럼에 긴급 조치 공고가 게시되며 상황이 밝혀졌다. 해커 주소의 자금은 Arbitrum 보안 이사회(Security Council)에 의해 이체된 것이다.
놀라운 점은, 해커 주소의 프라이빗 키를 알지 못하는 상태에서 Arbitrum 이사회가 자금을 동결하거나 이체할 권한조차 없었음에도 불구하고, 마치 해커 본인의 이름으로 직접 이체 명령을 내린 것처럼 행동했다는 사실이다.
해커 본인은 전혀 알지 못했고, 프라이빗 키 유출도 없었으며, 체인상 기록은 마치 해커가 직접 조작한 것처럼 보였다.
이 조작이 가능했던 이유는, Arbitrum과 이더리움 간 모든 크로스체인 메시지는 ‘Inbox’라는 브리지 계약을 거쳐야 하기 때문이다. 보안 이사회는 긴급 권한을 행사해 이 계약을 일시적으로 업그레이드하고, 다음과 같은 새 함수를 추가했다:
임의의 지갑 주소 명의로 크로스체인 트랜잭션을 발행하되, 해당 지갑의 프라이빗 키를 요구하지 않음.
이 함수를 이용해 이사회는 위조된 메시지를 생성했는데, 발신자 주소는 해커의 지갑으로 설정하고 내용은 “내 ETH 전액을 동결 주소로 이체한다”는 것이었다. Arbitrum 체인이 이를 수신하자 정상적인 절차에 따라 실행되었고, 결과적으로 위 체인 기록 스크린샷처럼 기묘한 이체가 발생한 것이다.
해커 자금 이체 완료 후, 해당 계약은 즉시 원래 버전으로 다운그레이드되었다. 업그레이드, 위조, 이체, 복구 과정 전체가 단 하나의 이더리움 트랜잭션 안에 모두 포함되어 완료되었으며, 다른 사용자와 애플리케이션에는 전혀 영향을 주지 않았다.
이러한 조작은 Arbitrum 역사상 전례가 없는 사례이다.
포럼 공고에 따르면, 보안 이사회는 조치 전에 법 집행 기관과 협의하여 해커 신원을 확인했으며, 이는 북한 소재의 국가 차원 해킹 조직인 ‘Lazarus Group’으로 특정되었다. 이 조직은 올해 DeFi 분야에서 가장 활발히 활동 중인 국가 차원 해커 집단이다. 이사회는 기술적 평가를 통해 타 사용자에게 영향을 주지 않을 것을 확보한 후 조치를 실행했다.
해커가 먼저 부정 행위를 저질렀기에, 이번 조치는 일종의 “규칙을 어기지 말라며 먼저 규칙을 깨는 것”과 같은 느낌을 준다. 이후 동결된 ETH는 어떻게 처리될 것인지에 대해서는 Arbitrum의 DAO 거버넌스 투표를 거쳐 법 집행 기관과 협의해야 한다.
7,000만 달러 이상의 도난 자금을 회수한 것은 분명 좋은 소식이다. 그러나 이를 가능케 한 전제 조건에 주목할 필요가 있다. Arbitrum 보안 이사회 12명 중 9명의 서명만 있으면, 모든 거버넌스 투표를 우회해 체인상 핵심 계약을 지연 없이 즉시 업그레이드할 수 있다는 점이다.
성과는 칭찬하지만, 권한은 우려한다?
현재 커뮤니티의 반응은 극명하게 나뉘고 있다.
일부는 Arbitrum이 위기 순간에 자산을 지켜냈다며 뛰어난 대응을 했다고 평가하며, L2에 대한 신뢰도 오히려 강화되었다고 본다. 반면 다른 이들은 매우 직설적인 질문을 던진다: “9명의 서명만으로 누구의 자산이든 임의로 조작할 수 있다면, 이것이 과연 탈중앙화인가?”
필자는 양측이 사실상 서로 다른 관점에서 이야기하고 있다고 본다.
전자는 결과를, 후자는 능력을 논하고 있다. 이번 사건의 결과는 분명 긍정적이며, 7,000만 달러 이상의 도난 자금이 회수되었다. 그러나 Arbitrum이 이번에 보여준 다중서명을 통한 계약 함수 수정 능력 자체는 중립적이다. 이번에는 해커를 추적하기 위해 사용되었지만, 향후 어떤 용도로, 얼마나, 어떻게 사용될지는 전적으로 이사회의 거버넌스에 달려 있다.
다만, 대부분의 Arbitrum 사용자에게는 이 논의보다 더 실용적인 사실이 있다. Arbitrum은 특별하지 않으며, 현재 주요 L2 플랫폼 대부분이 유사한 긴급 업그레이드 권한을 보유하고 있다는 점이다.
즉, 여러분이 사용 중인 체인에도 아마 유사한 보안 이사회가 존재하며, 유사한 권한을 갖추고 있을 가능성이 높다. 따라서 이는 Arbitrum만의 선택이 아니라, 현 단계에서 L2 전반에 걸쳐 널리 채택된 일반적인 설계 방식이다.
다른 각도에서 보면, 이번 공방은 더 광범위한 그림을 드러낸다.
공격 세력은 북한의 Lazarus Group이며, 올해 들어 최소 18건의 DeFi 공격에 연루된 것으로 추정된다. 삼주 전에는 완전히 다른 수법으로 Drift Protocol에서 2.85억 달러를 탈취했다.
한편 공격 수단을 계속 고도화하는 국가 차원 해커 집단에 맞서, L2는 이제 바닥 기반 권한을 활용해 직접 대응하기 시작했다. DeFi 보안 전쟁은 이제 “사후 자금 동결, 체인상 경고 발표, 화이트해트 개입 기다리기” 단계를 넘어선 새로운 국면에 진입하고 있다.
비상시에 만능 열쇠를 만들어 해커 주소를 열고, 작업 후 바로 그 열쇠를 녹여버리는 것. 단순히 이번 사건만 놓고 보면, 해커 공격에 효과적으로 대응할 수 있는 능력을 갖춘 것은 결코 나쁜 일이 아니다.
그러나 만약 이를 “이 정도면 전혀 탈중앙화가 아니다”는 철학적 논쟁 차원으로까지 끌어올리고 싶다면, 언급할 수 있는 사안은 훨씬 많다. 암호화폐 산업 내 다양한 중심화 조치는 이미 흔하며, 이번 조치는 적어도 부정적 사건을 해결하려는 시도이지, 부정적 사건을 애초에 일으키는 행위는 아니다.
현실적으로 돌아가면, KelpDAO가 도난당한 자금은 2.92억 달러였고, 회수된 것은 7,000만 달러가 채 되지 않아 전체의 4분의 1에도 미치지 못한다. 나머지 ETH는 여전히 다른 체인에 흩어져 있으며, Aave에서 발생한 1억 달러 이상의 부실 자산 문제도 아직 해결되지 않았고, rsETH 보유자들이 얼마만큼의 자금을 회수할 수 있을지도 불확실하다.
비록 Arbitrum이 ‘신의 권한’을 동원했더라도, 이 전투는 분명히 아직 끝나지 않았다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
深潮TechFlow
