"켈프다오 해커, 탈취 자금 2억2000만달러 세탁…회수 가능성 약화"

켈프다오(Kelp DAO) 해킹 공격자가 동결되지 않은 탈취 자금 대부분을 세탁한 것으로 나타났다. 아비트럼 보안위원회가 동결한 자금을 제외하면 회수 가능성이 크게 낮아졌다는 분석이 나온다.

1일 가상자산(암호화폐) 전문 미디어 코인텔레그래프에 따르면 켈프다오 해킹 공격자는 최근 6주 동안 동결되지 않은 탈취 자금 약 2억2000만달러를 세탁했다. 블록체인 데이터 업체 아캄에 따르면 현재 추적 가능한 공격자 지갑 잔액은 약 170만달러 수준이다.

이번 공격은 지난 4월 18일 발생했다. 공격자는 켈프다오의 리스테이킹 이더리움 토큰(rsETH) 11만6500개를 탈취했으며, 전체 피해 규모는 2억9300만달러로 집계됐다. 이로 인해 4월 가상자산 해킹 피해액은 6억3000만달러까지 늘어났다.

온체인 분석가 스펙터는 공격자가 두 단계로 자금을 세탁했다고 설명했다. 먼저 가상자산 믹서 와사비(Wasabi)를 활용해 자금을 비트코인으로 브릿징한 뒤, 다시 이더리움으로 되돌려 토네이도캐시(Tornado Cash)를 통해 출금과 입금을 반복했다는 것이다.

다만 일부 자금은 동결된 상태다. 아비트럼 보안위원회는 지난 4월 21일 7100만달러 규모의 자금을 동결했다. 이후 거버넌스 제안과 미국 법원 명령에 따라 해당 자금을 에이브(Aave)가 관리하는 다중서명 지갑으로 이전하는 방안이 승인됐다. 동결 자금 소유권과 관련한 다음 심리는 오는 금요일 뉴욕에서 열릴 예정이다.

켈프다오는 최근 5주간의 복구 작업을 거쳐 rsETH 토큰 복원을 완료했다고 밝힌 바 있다. 마지막 물량인 2만373.7rsETH는 크로스체인 전송 과정에서 rsETH의 잠금, 발행, 소각, 해제를 담당하는 레이어제로 스마트계약으로 전송됐다.

5월 가상자산 해킹 피해 규모는 전월보다 크게 줄었다. 보안업체 서틱(CertiK)에 따르면 5월 가상자산 공격 피해액은 6830만달러로, 4월 대비 약 90% 감소했다. 이 가운데 피싱 공격 피해액은 약 260만달러였으며, 회수되거나 반환된 금액은 940만달러로 집계됐다.

그러나 켈프다오 해킹은 디파이(DeFi) 보안 우려를 다시 키웠다. 공격 이후 비트코인 디파이 플랫폼 솔브프로토콜과 유동성 프로토콜 타이드로는 체인링크의 크로스체인 상호운용성 프로토콜(CCIP)로 이전했다. 켈프다오도 기존 레이어제로 기반 브릿지에서 벗어나 rsETH 토큰을 체인링크 CCIP로 이전했다.

레이어제로는 이번 공격이 자체 프로토콜 결함이 아니라 켈프다오 구현 방식의 단일 장애 지점에서 비롯됐다고 반박했다. 레이어제로는 켈프다오가 사전 경고에도 단일 레이어제로 DVN만을 검증 경로로 사용한 점이 문제였다고 밝혔다.