4월 Top 3 DeFi 사고
KelpDAO: 약 $290M
2026년 4월 18일, KelpDAO의 rsETH LayerZero OFT 브릿지가 약 $290M 규모의 공격을 받았습니다.
근본 원인은 KelpDAO의 취약한 1-of-1 DVN 구성으로, 크로스체인 메시지 검증이 단일 장애점으로 축소된 데 있었습니다. 공격자는 LayerZero Labs DVN이 신뢰하는 RPC 인프라를 침해한 후, 유일한 검증자가 조작된 크로스체인 메시지를 증명하도록 강제했습니다. 그 결과, Unichain 측에서 대응하는 소스 이벤트 없이 이더리움에서 116,500 rsETH가 출금되었습니다.
이번 사고는 LayerZero 프로토콜 자체의 결함이 아니라, 브릿지 구성 및 인프라 신뢰 가정에 걸친 광범위한 운영 보안 실패로 인해 발생했습니다. KelpDAO가 단 하나의 DVN에만 의존했기 때문에, 위조된 메시지에 이의를 제기할 독립적인 검증자가 없었습니다. 동시에 공격자는 해당 DVN이 사용하는 RPC 노드를 오염시키고 나머지 정상 노드를 DDoS 공격하여, 검증자가 공격자가 제어하는 데이터에 전적으로 의존하는 페일오버 상태로 강제 전환시켰습니다. 가짜 메시지가 증명되자, 이더리움 측 rsETH 어댑터는 설계된 대로 실행되어 자금을 출금했고, 이후 자금은 여러 지갑과 체인에 걸쳐 신속히 분산 및 세탁되었습니다.
이번 사고는 브릿지 보안이 프로토콜의 정확성에만 의존할 수 없음을 보여줍니다. 프로젝트는 독립적인 검증자를 갖춘 다중 DVN 구성을 채택하고, 검증 중 갑작스러운 RPC 노드 중단을 일상적인 가용성 문제가 아닌 공격 신호로 처리하며, 검증자 네트워크에 소스체인 데이터를 제공하는 인프라를 강화해야 합니다.
자세한 분석은 아래 딥다이브 게시물을 참조하세요:
Drift Protocol: 약 $285M
2026년 4월 1일, Solana의 Drift Protocol이 약 $285M 규모의 공격을 받았습니다.
근본 원인은 스마트 컨트랙트 취약점이 아니라, 프로토콜의 거버넌스 및 권한 부여 프로세스의 실패였습니다. 당시 Drift는 고권한 작업에 2-of-5 멀티시그 구성을 사용하고 있었으며, 이는 5명의 승인된 서명자 중 두 명만 있으면 중요한 관리 변경 사항을 승인할 수 있음을 의미했습니다. 이러한 작업에는 타임락도 적용되지 않았습니다. 충분한 승인이 수집되면 즉시 실행될 수 있었습니다. 여기에 더해 Solana의 지속 가능한 논스(durable nonce) 메커니즘은 사전 서명된 트랜잭션이 일반 트랜잭션처럼 빠르게 만료되지 않고 오랫동안 유효하게 유지되도록 허용했습니다. 이로 인해 공격자는 악의적인 서명을 미리 수집하고 적절한 시기를 기다릴 수 있었습니다. 5명의 서명자 중 두 명이 악의적인 거버넌스 트랜잭션을 승인하도록 유도한 후, 공격자는 해당 트랜잭션을 제출하여 프로토콜의 관리자 권한을 탈취했습니다. 이 접근 권한을 통해 공격자는 CarbonVote Token(CVT)이라는 가짜 담보 자산을 등록하고, 오라클 가격을 조작하며, 출금 제한을 완화하고, 가짜 담보를 사용하여 Drift Vault에서 대량의 실제 자산을 탈취했습니다.
이번 사고는 Drift의 거버넌스 설계에서 세 가지 주요 취약점을 드러냈습니다. 첫째, 탈취된 승인이 빠르게 만료되지 않았기 때문에 공격자가 서명 수집과 실행을 분리할 수 있었습니다. 둘째, 타임락이 없었기 때문에 관리자 탈취가 즉시 효력을 발휘하여 탐지 또는 대응 시간이 거의 남지 않았습니다. 셋째, 관리자 역할의 권한이 지나치게 강력했습니다. 일단 침해되면, 공격자가 새로운 담보 마켓을 생성하고, 오라클 설정을 변경하며, 출금 제한을 완화할 수 있었고, 이 모든 것이 자산 탈취를 직접적으로 가능하게 했습니다.
이번 사고는 거버넌스 보안이 단순히 개인 키 보호에 관한 것이 아님을 보여줍니다. 프로토콜은 전체 서명 및 승인 프로세스를 보호하고, 고권한 작업에 지연 시간을 추가하며, 장기 유효 사전 서명 트랜잭션의 사용을 제한하고, 단일 관리자 탈취로 수행할 수 있는 범위를 축소해야 합니다.
자세한 분석은 아래 딥다이브 게시물을 참조하세요:
Rhea Finance: 약 $18.4M
2026년 4월 16일, NEAR의 Rhea Finance Burrowland 프로토콜이 마진 거래 모듈의 비즈니스 로직 결함으로 인해 약 $18.4M 규모의 공격을 받았습니다. 주목할 점은, 2026년 4월 23일 기준으로 탈취된 모든 자금이 회수되었다는 것입니다.
근본 원인은 프로토콜이 사용자가 제공한 스왑 출력 선언을 DEX에서 실제로 반환될 금액을 정확히 나타내는 것으로 처리했다는 점입니다. 그러나 악의적인 사용자는 경로 내에서 중간 출력을 재활용하는 순환 스왑 경로를 구성하여 선언된 최종 출력을 인위적으로 부풀리고 프로토콜의 회계를 조작할 수 있었습니다. 그 결과, 프로토콜의 지급 능력 및 레버리지 확인이 실제 수령 금액이 아닌 조작된 값에 의존하게 되었습니다. 이 결함은 verify_token_out() 함수에서 비롯되었으며, 이 함수는 스왑 경로 내에서 나중에 재사용된 특정 중간 출력을 최종 결과의 일부로 잘못 계산했습니다.
이러한 검증을 우회한 후, 공격자는 공격자가 제어하는 가짜 풀을 통해 차용한 자산을 프로토콜 밖으로 라우팅했고, 프로토콜은 극히 미미한 가치만 돌려받았습니다. 공격자는 이후 이 풀에서 유동성을 출금하여 자금을 추출했습니다. 이 과정을 반복함으로써 공격자는 최종적으로 Burrowland에서 약 $18.4M을 탈취했습니다.
이번 사고는 마진 거래 프로토콜이 사용자가 선언한 스왑 출력을 신뢰할 수 있는 입력으로 처리해서는 안 된다는 점을 보여줍니다. 프로토콜은 지급 능력 확인이 실제 수령 금액을 기반으로 하도록 보장하고, 중간 자산을 재활용할 수 있는 스왑 경로를 거부하며, 순환 라우팅에 의한 회계 로직 조작을 방지해야 합니다.
위 정보는 2026년 4월 29일 00:00 UTC 기준 데이터를 바탕으로 합니다.
이것으로 4월 보안 사고 브리핑을 마칩니다. 블록체인 보안 사고 및 Web3 보안 트렌드에 대한 더 심층적인 분석은 저희 리소스를 참조하시기 바랍니다.
보안 사고 라이브러리에서 더 자세한 내용을 확인하실 수 있습니다.
항상 최신 정보를 확인하고 안전하게 지내세요!



