수요일에 발생한 스테이크 DAO(Stake DAO) 해킹 사건으로 프로토콜의 아비트럼(Arbitrum) 배포자 키가 유출되었습니다. 공격자는 약 5조 4천억 개의 가짜 Vote-Boosted sdCRV(vsdCRV) 토큰을 발행한 뒤, 공개 라우터를 사용해 이더(ether)로 교환했습니다.
이 공격은 모든 스마트 컨트랙트 통제를 우회했습니다. 권한이 있는 단일 개인키로 인해 올해 디파이(DeFi)에서 수억 달러의 손실이 발생했습니다.
스테이크 DAO(Stake DAO) 해킹 사건의 경위
온체인 경보에 따르면 블록에이드(Blockaid)는 침해 발생 지점을 스테이크 DAO 배포자 지갑으로 추적했습니다. 공격자는 이 키를 이용해 vsdCRV의 레이어제로(LayerZero) v2 브릿지 피어를 재설정했습니다.
약 25초 후, 조작된 크로스체인 메시지를 통해 아비트럼에서 5조 4천억 개의 vsdCRV가 발행되었습니다.
공격자는 메타마스크(MetaMask)의 공개 라우터를 통해 이 토큰을 이더로 교환했습니다. 스마트 컨트랙트의 결함은 발견되지 않았습니다.
특히, 최근 케ल्पDAO(KelpDAO)에서 레이어제로(LayerZero) 취약점도 유사한 피어 구성 남용으로 발생했습니다.
익숙한 키 유출 패턴
스테이크 DAO 해킹 사건은 지난 4월 와사비 프로토콜(Wasabi Protocol) 탈취와 동일한 양상을 보였습니다. 유출된 배포자 지갑이 4개 체인에서 약 450만 달러를 인출했습니다.
같은 달 솔라나(Solana)에서 드리프트 프로토콜(Drift Protocol)이 2억 8천 5백만 달러를 잃었습니다. 아비트럼의 켈프DAO(KelpDAO) 동결 역시 몇 주 후 2억 9천 2백만 달러 브릿지 해킹 후에 이어졌습니다.
각 프로토콜은 모두 감사를 통과했습니다. 실패 원인은 코드가 아니라 브릿지 피어를 설정하거나 업그레이드할 권한이 있는 키에 있었습니다. 올해 초 리졸브(Resolv)의 8천만 달러 발행도 같은 유형에 해당합니다.
“2026년에 디파이가 대답해야 할 질문은 더 이상 프로토콜이 감사를 받았는지가 아닙니다. 거의 모두가 감사를 받았기 때문입니다. 대신, 그러한 감사된 컨트랙트 뒤에 있는 소수의 운영 키들이… 여전히 단일 노트북에 단일 객체로 존재하도록 허용되는지가 핵심입니다.” – 소닷(Sodot) 공동 창업자 샬레브 케렌(Shalev Keren)이 비인크립토(BeInCrypto)와의 인터뷰에서 덧붙였습니다.
스테이크 DAO와 다른 프로토콜에는 멀티시그 지갑 보호책이 배포자 키와 위조된 발행 사이에 반드시 있어야 합니다. 그렇지 않으면 다음 디파이 플랫폼 해킹의 원인은 잘못된 코드가 아니라, 단일 노트북에서 다시 발생할 것입니다.
