최근 디지털 자산 시장에서 4000억원에 해당하는 코인이 갑작스럽게 사라진 사건이 발생했습니다. 피해를 입은 주체는 이더리움 기반의 금융 서비스를 제공하는 Kelp DAO이며, 공격자는 불과 46분 만에 코인을 탈취한 뒤 이를 탈중앙화 금융 시스템을 이용해 현금 자산으로 전환했습니다. 이 사건은 Kelp DAO뿐만 아니라 에이브(AAVE)와 같은 다른 탈중앙화 금융 서비스에도 심각한 영향을 미쳤습니다.

이번 해킹은 탈중앙화 금융과 블록체인 간의 자산 이동을 매개하는 브릿지에 대한 위험성을 다시 한번 일깨워줍니다. 스마트 컨트랙트로 연계된 탈중앙화 금융 구조는 한 지점에서 발생한 문제가 다른 노드들에 연쇄적인 피해를 줄 수 있음을 여실히 증명했습니다. 이러한 상황에서 개인 투자자들은 대규모 자산 손실의 피해자로 남게 되고, 전체 금융 생태계에도 큰 여파가 미쳤습니다.

예를 들어, Kelp DAO는 사용자의 이더리움(ETH)을 맡아 그에 대한 영수증 토큰인 rsETH를 발행하고, 이를 통해 이자와 유사한 수익을 제공하는 구조입니다. 이는 전통적인 은행 시스템과 유사하나, 그 영수증 토큰을 다른 금융 서비스에서 담보로 활용할 수 있는 점에서 차별화됩니다. 이 기술의 본질적인 위험은 특정한 브릿지에서 발생한 보안 허점을 통해 전반적인 생태계가 위기에 처할 수 있다는 점입니다.

해킹 사건의 경과를 살펴보면, 해커들은 특정 검증자를 집중 공격하여 트랜잭션 확인에 사용되는 여러 개의 노드를 무력화한 뒤, 허위 정보를 전송할 수 있는 두 개의 노드를 선택하여 가동했습니다. 그 결과, Kelp DAO는 11만6500개의 영수증 토큰을 잃게 되었고, 이후 이더리움 기반의 에이브에서 대출을 시도했습니다. 이 과정에서 가짜 영수증을 담보로 활용한 부실 대출이 발생하게 되었습니다.

현재 피해액 중 상당수가 동결된 상태이지만, 나머지 자산들은 다양한 네트워크를 통해 세탁되고 있는 실정입니다. 일부 자산은 비트코인으로 환전되는 상황이 벌어졌고, 일부는 프라이버시 프로토콜을 통해 추가 세탁이 이루어지고 있습니다. 전문가들은 이러한 방식이 북한의 해킹 조직인 라자루스 그룹의 전형적인 공격 방식과 유사하다고 분석하며, 배후에 북한이 관련되어 있을 가능성도 제기하고 있습니다.

가장 큰 타격을 받은 곳은 에이브로, 대규모 부실 대출이 발생함에 따라 약 84억5000만 달러 규모의 자산이 유출됐습니다. 이로 인해 전체 탈중앙화 금융 생태계의 예치 자산도 132억 달러 이상 감소했습니다. 에이브 토큰(AAVE)의 가격도 하루 만에 20%나 급락했습니다. Kelp DAO와 에이브의 연쇄적인 해킹 사건은 전체 탈중앙화 금융 생태계에 중대한 타격을 입혔습니다.

이번 사건이 많은 시사점을 제공합니다. 첫째, 검증되지 않은 연결은 늘어날수록 더 큰 위험을 초래할 수 있습니다. 둘째, 스마트 컨트랙트 코드뿐만 아니라 네트워크 인프라의 안전성도 필수적으로 점검해야 합니다. 마지막으로 해킹 피해가 일반 사용자들에게까지 영향력을 행사할 수 있다는 점이 드러났습니다. 이러한 환경에서는 안전망이 부재한 상태이므로, 한국의 디지털 자산 기본법의 조속한 통과가 필요하다는 목소리가 커지고 있습니다.