LayerZero 멀티시그 키가 McPepes memecoin 거래에 사용된 것이 발각되었습니다

크로스체인 메시징 플랫폼인 레이어제로(LayerZero)가 운영 보안(OPSEC) 실패 의혹에 새롭게 직면했습니다. 보도에 따르면, 레이어제로의 실제 멀티시그 서명 키가 유니스왑(Uniswap)에서 맥페프스(McPepes) 밈코인 거래에 사용된 것으로 드러났습니다. 

2026년 5월 8일에 공개된 의혹에 따르면, 블록체인 인프라 기업들이 사용하는 주요 관리 기법에 문제가 있는 것으로 지적되었습니다.

LayerZero의 Gnosis Safe 멀티시그니처 2/5는 어떻게 되었나요?

이번 의혹은 LayerZero가 자사의 2-of-5 Gnosis Safe 멀티시그 방식을 부주의하게 사용한 데 초점을 맞추고 있으며, 이 방식은 사용자 토큰을 보호하고 OFT 인프라의 핵심 부분을 제어하는 ​​데 사용됩니다. 

X에서 빠르게 확산된 내부 토론 스크린샷에 따르면, Gnosis Safe 다중 서명에 서명한 5명 중 3명이 다중 서명 과정과 무관한 활동에 적극적으로 관여한 것으로 드러났습니다.

🚨속보: @LayerZero_Core가 사용자 자금 보호에 사용되는 프로덕션 멀티시그 키가 맥페프스(McPepes) 밈코인 거래에도 사용된 것으로 알려지면서 운영 보안 의혹에 직면했습니다.

레이어제로의 브라이언은 해당 거래가 LZ 멀티시그에 참여했던 사람들이 진행했으며, 이들은 현재 참여하고 있지 않다고 밝혔습니다. pic.twitter.com/k5YR7jyCg6

— Solana나 플로어 (@Solana나 플로어) 2026년 5월 8일

서명자 주소는 다음과 같습니다

• 0x1f5E377a3ADBe6f3289ADb6b21eae6427dfbb553은 PEPES(McPepes)라는 밈코인 거래 및 Hop 플랫폼과 관련이 있습니다.
• 0xBb6633c267951E938F9B6421E4F54aa5b2c19326은 약 1,200만 달러를 보유하고 스타게이트 스테이킹에 참여했습니다.
• 0x6fC8342C448F9a8d541C17579EF7A14237b8d5aD는 Curve, PancakeSwap 및 SpookySwap의 유동성 공급에 관여합니다.

주목할 만한 거래는 유니스왑 V3를 통해 0.198548073 ETH를 약 173만 개의 ERC-20 토큰인 McPepes/PEPES로 교환한 것입니다.

이는 수십억 달러를 보호하기 위해 만들어진 운영 키가 네트워크 외부 웹사이트에 연결되어 있어 피싱 공격에 취약했다는 증거로 제시되었습니다. 

멀티시그 방식에는 타임록이 없었고, 키는 수년간 변경되지 않은 상태로 유지되었습니다. 동일한 업체들이 레이어제로 호환 프로토콜.

온체인 거래 내역은 실제 서명자들이 PEPE 토큰 배포 일정 이전에 McPepes 토큰에 대해 Uniswap 스왑을 수행했다는 주장을 뒷받침합니다.

 다중 서명 설정과 관련된 취약점이 보고되었습니다

LayerZero 멀티시그는 브리지 토큰을 위한 최고의 보호 계층 역할을 하도록 설계되었습니다. 그러나 설명된 행위는 키 격리라는 기본적인 운영 보안 규칙을 위반했습니다. 서명자들이 탈중앙화 거래소에서 거래에 동일한 키를 사용함으로써 악의적인trac및 피싱 공격에 취약해졌습니다. 

도난당한 키 두 개만으로도 전체 멀티시그를 무력화시킬 수 있었다는 점을 언급할 가치가 있습니다.

이번 정보 공개 시점은 레이어제로의 보안 방식에 대한 면밀한 조사가 강화되는 시기와 관련이 있습니다. Cryptopolitan, 로 이전할 계획이라고 밝혔습니다 Chainlink)의 CCIP 

최근 Kelp DAO 해킹 사건을 LayerZero 브리지를 사용한 Solv는 .dent 발표에서 이 사건을 직접 언급하지는 않았지만, 이는 LayerZero에 대한 어느 정도의 회의적인 시각을 보여

레이어제로의 CEO 브라이언 펠레그리노가 이 문제에 대해 언급합니다

이러한 의혹에 대해 레이어제로의 CEO인 브라이언 펠레그리노는 해당 거래가 멀티시그 지갑에서 퇴출된 이전 회원들로부터 발생한 것이라고 해명했습니다. 그는 "밈코인 거래"라는 것은 존재하지 않으며, 이는 OFT(공정거래청)의 테스트일 뿐 추측이 아니라고 부인했습니다. 

더 나아가 그는 지갑이 더 이상 서명 기능에 관여하지 않는다고 지적했습니다.

스크린샷에서 볼 수 있듯이, 회의론자들은dent설명에 대해 문제를 제기하며, 거래가 PEPE가 아닌 McPepes 간에 이루어졌다는 점과 Uniswap을 통한 ETH와 memecoin 거래가 OFT 테스트로 분류될 수 있는지에 대해 의문을 제기했습니다.

문제의 서명자들은 다중 서명에서 제외된 것으로 알려졌습니다. 레이어제로는 이에 대한 반박이나 서명자들이 이전에 수행한 모든 행위에 대한 완전한 감사 결과를 공개하지 않았습니다.

크립토 트위터, 레이어제로를 공격하다

잭 라인스는 레이어제로의 보안 조치를 "끔찍한 보안 허점"이라고 비판했습니다. 라인스는 레이어제로를 기본 설정으로 사용하는 사용자 , 잠재적인 공급망 취약점을 예로 들었습니다.

또한 그는 프로덕션 키는 필수적인 작업 외에는 절대로 사용해서는 안 된다고 주장합니다.

농담이었으면 좋겠네요. 이 업계에서 "보안"이라고 불리는 것들이 얼마나 끔찍한지 정말 믿기지 않아요

— 잭 라인스 | ​​CLG (@ChainLink신) 2026년 5월 8일

X 커뮤니티의 반응은 인프라 영역 내에서 일하는 사람들을 "광대와 범죄자"로 인식하고 충격을 받았다는 의견부터 더 많은 개방성과 투명성을 요구하는 목소리까지 다양했습니다.

체인 간 통신의 중개자 역할을 하는 LayerZero의 멀티시그에 잠재적인 취약점이 있다면 매우 우려스러운 상황일 수 있습니다.