북한의 5억 7700만 달러 규모 디파이(DeFi) 공격: 드리프트(Drift)와 켈프(Kelp)가 18일 만에 해킹당해

북한 연계 해커들이 단 한 달 만에 역사상 가장 큰 규모의 탈중앙화 금융(DeFi) 익스플로잇을 두 차례 실행하여, Drift Protocol과 Kelp DAO에서 총 5억 7,700만 달러 이상의 자금을 탈취했습니다. 블록체인 분석 기업, 크로스체인 인프라 제공업체 및 독립 보안 연구원들은 이 두 공격이 북한 국가 기구 산하의 해킹 부대에 의한 것이라고 분석했으며(신뢰도는 상이함), 이는 분석가들이 설명하는 DeFi 인프라를 향한 조직적이고 점진적인 캠페인의 신호탄으로 평가됩니다.

Drift Protocol 익스플로잇: 6개월간의 침투

2026년 4월 1일, 공격자들은 Solana 기반 최대 탈중앙화 무기한 선물 거래소인 Drift Protocol에서 약 2억 8,500만 달러를 탈취했습니다. 이는 당시 시점에서 올해 최대 규모의 DeFi 해킹이자, 2022년 3억 2,600만 달러 규모의 Wormhole 브릿지 해킹에 이어 Solana 역사상 두 번째로 큰 익스플로잇으로 기록되었습니다. Drift 측의 사후 분석(post-mortem)에 따르면, 이번 공격은 "6개월에 걸친 준비 과정"을 거쳤으며, AppleJeus, Citrine Sleet, Gleaming Pisces로도 추적되는 북한 국가 후원 위협 행위자인 UNC4736의 소행으로 중간 정도의 신뢰도로 추정됩니다. 이 그룹은 적어도 2018년부터 암호화폐 부문을 표적으로 삼아온 기록이 있습니다. 공격 벡터는 스마트 컨트랙트 버그가 아니었습니다. 대신 사회 공학, 거버넌스 조작, 그리고 특수 제작된 가짜 토큰을 결합한 방식이었습니다:

• 2025년 12월에서 2026년 1월 사이, 퀀트 트레이딩 기업으로 위장한 요원들이 Drift의 에코시스템 볼트(Ecosystem Vault)에 합류하여 전략 문서를 제출하고, 100만 달러 이상의 자기 자본을 예치해 신뢰를 쌓았습니다.
• 공격자는 CarbonVote(CVT)라는 허구의 토큰을 제조하여 최소한의 유동성과 가짜 거래량을 주입한 뒤, Drift의 오라클이 이를 유효한 담보로 취급하도록 조작했습니다.
• 3월 23일에서 30일 사이, 공격자는 Solana의 'durable nonce' 기능을 사용하여 악성 트랜잭션에 미리 서명하도록 유도함으로써 Drift 보안 위원회 멤버들로부터 5개 중 2개의 멀티시그 승인을 얻어냈습니다. 이를 통해 실행 당일까지 권한 부여를 휴면 상태로 유지할 수 있었습니다.
• 4월 1일 실행이 트리거되자 볼트는 약 12분 만에 비워졌으며, 도난당한 자금의 대부분은 몇 시간 내에 이더리움으로 브릿징되었습니다.
• 익스플로잇 이후 DRIFT 토큰은 40% 이상 하락했으며, 프로토콜의 총 예치 자산(TVL)은 약 5억 5,000만 달러에서 2억 5,000만 달러 미만으로 급감했습니다. Drift에 의존성을 가진 12개의 Solana 프로토콜들이 운영을 중단했습니다.

Kelp DAO 익스플로잇: 대규모 인프라 오염

4월 18일, EigenLayer를 통해 사용자 ETH를 라우팅하는 유동성 리스테이킹 프로토콜인 Kelp DAO가 2억 9,200만 달러 규모의 익스플로잇 피해를 입었습니다. 이는 북한 국가의 지원을 받는 라자루스 그룹(Lazarus Group), 특히 그 하위 부대인 TraderTraitor의 소행으로 확인되었습니다. 이 사건은 Drift를 제치고 2026년 단일 최대 DeFi 익스플로잇이 되었습니다. 공격자들은 LayerZero의 검증인(verifier)이 크로스체인 트랜잭션을 확인하기 위해 의존하는 두 개의 RPC 노드를 해킹하여, 노드 소프트웨어를 허위 데이터를 보고하는 악성 버전으로 교체했습니다. 그 후 나머지 정상 노드들에 대해 분산 서비스 거부(DDoS) 공격을 가해 시스템이 해킹된 엔드포인트로 페일오버(failover)되도록 강제했습니다. 이로 인해 LayerZero의 검증인은 속아서 허위 크로스체인 트랜잭션을 승인하게 되었고, 116,500 rsETH가 공격자에게 방출되었습니다. LayerZero는 이번 침해의 원인 중 일부가 Kelp 자체의 보안 구성에 있다고 분석했습니다. 해당 프로토콜은 1-of-1 검증인 설정을 실행하고 있었는데, 이는 LayerZero Labs가 rsETH 브릿지로 오가는 메시지를 검증하는 유일한 주체임을 의미했습니다. LayerZero 측은 이 구성에 대해 이전에 경고한 바 있다고 밝혔습니다. 이 여파는 DeFi 부문 전반으로 빠르게 확산되었습니다:

• 4월 18일 익스플로잇으로 인해 잠재적 부실 채권에 대한 우려가 커지면서 Aave에서 100억 달러의 자금이 유출되었습니다.
• 공격 후 24시간 동안 DeFi 전체의 총 예치 자산(TVL)은 약 7% 감소하여 약 995억 달러에서 863억 달러로 떨어졌습니다.
• Ethena, ether.fi, Tron DAO, Curve Finance를 포함한 여러 DeFi 팀은 이에 대응하여 LayerZero 옴니체인 대체 가능 토큰 브릿지 운영을 중단했습니다.

변화하고 고조되는 위협

동일한 북한 부대가 18일 동안 Drift에서의 거버넌스 서명자 사회 공학 공격과 Kelp에서의 인프라 RPC 오염이라는 구조적으로 다른 두 가지 공격 벡터를 통해 DeFi에서 5억 7,700만 달러 이상을 탈취했습니다. 분석가들은 Kelp 익스플로잇이 북한 라자루스 그룹이 개별 해킹을 넘어 진화하고 있음을 시사한다고 지적합니다. 이들은 전술을 사회 공학에서 암호화폐 인프라의 구조적 약점을 이용하는 방식으로 빠르게 전환하고 있으며, 이는 일회성 사건이 아닌 국가 주도의 지속적인 캠페인을 암시합니다. 두 사건 모두 북한의 소행이라는 판명이 유지된다면, 2026년 해당 정권의 확인된 암호화폐 절도 총액은 6억 달러를 넘어서게 됩니다. 미국 정부는 이 수익금이 평양의 무기 프로그램과 연계되어 있다고 지속적으로 밝혀왔습니다. LayerZero는 이후 1-of-1 검증인 구성을 운영하는 어떤 프로젝트에 대해서도 메시지에 서명하지 않겠다고 발표했으며, 멀티 DVN 설정으로의 마이그레이션을 가속화하고 있습니다. 보안 연구원들과 프로토콜 개발자들은 더 넓은 DeFi 업계가 거버넌스 타임락(timelocks), 오라클 심층 방어, 크로스체인 검증 중복성을 선택적 구성이 아닌 협상 불가능한 기본 요구 사항으로 취급할 것을 촉구하고 있습니다.

Coinplurk.com에서 발행