탈중앙화 문제를 해결하는 것이 DeFi 진화의 방향이다

최근 며칠간 인터넷에서는 AAVE 보안 사건에 대한 열띤 논의가 이어지고 있습니다.

사건의 주요 과정은 이렇습니다:

공격자는 KelpDAO의 검증 메커니즘을 공격하여, 가짜 크로스 체인 메시지를 통해 LayerZero의 크로스 체인 브릿지가 메인넷에서 11만 개 이상의 rsETH를 무작위로 발행하게 만들었습니다. 그런 다음 이 무작위로 발행된 rsETH를 Aave에 담보로 예치하고 약 2.36억 달러의 WETH/ETH를 대출받았습니다.

이 작업은 Aave에서 WETH/ETH의 대량 유동성이 빠져나가는 직접적인 원인이 되었습니다. 이 보안 사건이 발생하면서 원래 Aave에 대량으로 저장되어 있던 다양한 자산들이 일제히 인출되었습니다. 이로 인해 유동성 고갈이 Aave의 거의 모든 주요 자산으로 빠르게 확산되었습니다.

더 심각한 것은 이 사건이 솔라나 생태계로까지 확산되어 솔라나의 다양한 대출 프로토콜에서도 유동성이 상당히 긴장된 상황이 발생했다는 것입니다.

이 사건에 대한 전체적인 설명은 문서 끝의 링크를 참조하시기 바랍니다.

이 사건이 DeFi 생태계에 미친 타격은 분명히 막대하며, 따라서 인터넷에서는 이 사건에 대한 다양한 논평 기사가 쏟아져 나오고 있습니다.

그러나 이러한 기사들 중 대다수는 단순히 감정을 토로하는 것 외에는 이 사건의 핵심을 파악하지 못했으며, 이 사건의 영향을 객관적으로 바라보지 못했습니다. 많은 기사들은 모든 문제를 분석 없이 DeFi에 귀속시키고, 심지어 "탈중앙화는 죽었다"는 잘못된 주장을 내세우기도 했습니다.

실제로 이 보안 사고의 핵심 원인은 KelpDAO의 검증 메커니즘이 설계상 중대한 보안 취약점을 가지고 있다는 것입니다.

LayerZero는 다양한 프로토콜이 크로스 체인 시 메시지를 확인할 수 있도록 DVN(분산 검증 네트워크) 메커니즘을 제공합니다. DVN이 분산 검증기라면, 이 검증기를 호출하는 프로토콜은 분산 방식으로 이 메커니즘을 구성해야 합니다—여러 서명을 사용하여 하나의 메시지를 확인해야 합니다.

하지만 KelpDAO는 단 하나의 서명만으로 메시지를 확인할 수 있도록 했습니다.

이로 인해 공격자에게 취약점이 남게 되었습니다—공격자는 이 하나의 서명을 공격하여 어떤 메시든 확인할 수 있게 됩니다.

또 다른 전형적인 사례를 통해 이 문제를 더 잘 이해할 수 있습니다:

보통, 일부 대형 기관(예: CEX 거래소 등)은 대량의 비트코인 자산을 보유하고 있습니다. 이러한 대량 비트코인을 보관하는 지갑에 대해 이들 기관은 단일 서명 지갑이 아닌 다중 서명 지갑을 사용합니다.

단일 서명 지갑을 사용할 경우, 그 단일 서명이 공격당하면 지갑 내의 모든 비트코인이 위험에 처하게 됩니다. 반면 다중 서명 지갑을 사용하면, 하나 또는 여러 개의 서명이 공격당하더라도 다중 서명 기준이 유지되는 한 지갑 내의 비트코인은 여전히 안전합니다.

이는 암호 생태계에서 약간의 보안 의식을 가진 운영자와 설계자가 가져야 할 기본적인 인식과 상식입니다.

그러나 KelpDAO 팀은 이 기본적인 인식조차 결여되어 있었습니다—그들은 오히려 단일 서명이라는 고도로 중앙집중화된 설계를 사용하여 이 거대한 재난 사고를 초래했습니다.

이는 DeFi 세계에서 탈중앙화 구성이 각 핵심 단계의 표준이 되어야 전체 메커니즘의 안전을 보장할 수 있다는 것을 증명합니다.

따라서 "탈중앙화는 죽었다"는 주장은 정말로 터무니없습니다.

물론, Aave도 이 사건에서 결코 무죄가 아닙니다. 그들의 문제는 담보 자산이 가져올 수 있는 잠재적 위험에 대해 즉각적으로 경각심을 갖지 않았다는 것입니다.

2025년 1월, Aave의 거버넌스 포럼에서는 KelpDAO의 자산이 위험할 수 있다는 경고가 게시되었습니다. 그러나 Aave는 이에 대해 무관심했습니다.

반면, 유사한 프로토콜인 Spark(메이커DAO에서 유래)는 rsETH의 담보를 즉시 중단했습니다.

이 두 프로토콜의 보안 위험에 대한 상이한 대응은 그들의 안전 리스크 관리에서의 큰 차이를 보여줍니다.

Spark의 이 조치는 메이커DAO의 과거 보안 사고를 떠올리게 합니다.

2023년 3월, 실리콘밸리 은행의 파산으로 인해 DAI의 최대 담보 자산인 USDC가 심각한 탈피를 겪어 DAI의 가격이 단기간에 1달러 이하로 떨어졌습니다.

이 또한 중앙집중화 문제로 인해 발생한 DeFi 재난이었습니다. 이는 메이커DAO가 당시 중앙집중화 문제에 대한 방어가 부족했음을 드러냈습니다.

하지만 그 이후로 메이커DAO는 재도약의 과정을 시작했으며, 직접적으로 "종말 계획"(Endgame Plan)을 추진하고 탈중앙화 및 자산 다각화의 과정을 가속화하여 유사한 중앙집중화 위험이 프로토콜에 미치는 충격을 예방하고자 했습니다.

이로 인해 오늘날 우리가 보는 Spark가 탄생했으며, 이번 사건에서 Spark의 안정적인 성과를 확인할 수 있었습니다.

메이커DAO의 재도약은 이러한 문제에 직면했을 때, 생태계 내의 각 프로젝트가 각 단계의 중앙집중화 위험에 대해 두 배로 경각심을 가져야 한다는 것을 보여줍니다.

이것이 장기적으로 더 강력하고 생명력 있는 DeFi 시스템을 구축하는 길입니다.

메이커DAO는 이렇게 성장해왔고, Aave 및 모든 다른 DeFi 시스템도 이렇게 나아가야 합니다.

DeFi 메커니즘은 보안 사고를 일으키는 원인이 아니며, 실제 운영자가 무의식적으로 습관화된 중앙집중화 사고와 중앙집중화 작업이 문제의 근본입니다.

중앙집중화 위험에 지속적으로 맞서고 중앙집중화 문제를 지속적으로 해결하는 것이 DeFi 진화의 올바른 방향이며, DeFi가 유사한 문제를 해결하는 올바른 방법입니다.

참고 링크: https://x.com/lanhubiji/status/2045779703051460715