한 해커가 토요일에 토네이도 Cash 통해 자신의 지갑에 자금을 충전하고 10시간을 기다린 후, 켈프DAO에서 2억 9200만 달러를 빼돌리는 거래를 실행했습니다.
누군가 알아차렸을 때는 이미 돈은 사라진 후였습니다. 그리고 KelpDAO가 잠시 멈췄을 때는 이미 몇 분 안에 두 번의 시도가 더 실패한 후였습니다.
KelpDAO 해커는 3억 9100만 달러를 빼돌리려 했습니다
이번 공격에 사용된 지갑은 토네이도 Cash의 1 ETH 풀을 통해 자금이 조달되었습니다. 이는 일반적인 난독화 절차로, 해당 주소에 깨끗한 가스 비용을 미리 채워 넣는 역할을 합니다.
LayerZero의 EndpointV2trac에 있는 lzReceive라는 지갑과 KelpDAO의 OFT 브리지가 116,500 rsETH를 별도의 공격자 주소로 전송했습니다. 이 공격은 단 한 번의 거래로 완료되었습니다.
그 후 벌어진 일은 상황이 얼마나 아슬아슬했는지를 보여줬습니다. 공격자는 두 번 더 시도했습니다. 각각 4만 rsETH, 총 1억 달러 상당의 자산을 노린 LayerZero 패킷 두 개가 브리지에 도달했지만, 모두 되돌려졌습니다.
5분 전, Kelp의 비상 일시 중지 멀티시그(multisig)가 pauseAll을 실행했습니다. 이 호출로 LRT 예치 풀, 출금trac, LRT 오라클 및 rsETH 토큰이 모두 동결되었습니다. 성공적인 자금 유출과 일시 중지 사이의 간격은 46분이었고, 일시 중지와 다음 공격 시도 사이의 간격은 5분이었습니다.
만약 공격자의 두 번째와 세 번째 시도가 모두 성공했다면 KelpDAO의 총 손실액은 약 3억 9100만 달러에 달했을 것입니다.
공격자가 Aave 부실채권을 발생시켰습니다
116,500개의 rsETH 토큰은 현재 가격 기준으로 약 2억 9,200만 달러의 가치가 있습니다. 이는 rsETH의 총 유통량 약 63만 개의 약 18%에 해당합니다.
rsETH는 EigenLayer 기반으로 구축된 유동성이 높은 리스태킹 토큰으로, Base, Arbitrum, Linea, Blast, Mantle, Scroll을 포함한 20개 이상의 네트워크에 배포되어 있습니다.
공격자는 훔친 rsETH 토큰을 단순히 보관만 한 것이 아닙니다. 온체인 데이터에 따르면, 해당 토큰은 대량의 이더리움과 래핑된 이더리움을 빌리기 위한 담보로 Aave V3에 예치되었습니다. 자금은 추적을 어렵게 하기 위해 토네이도 Cash 통해 다시 이체되었습니다.
해당 조치로 인해 브릿지 취약점이 DeFi최대 대출 플랫폼 중 하나인 Aave에 잠재적인 부실채권 문제로 번졌습니다. Aave V3는 이로 인해 최대 1억 7,700만 달러의 부실채권 위험에 직면할 수 있습니다.
블록체인 조사관 ZachXBT는 사건 발생 후 한 시간 만에 텔레그램을 통해 이 사실을 dent 렸습니다 Ethereum 과 아비트럼으로 2억 8천만 달러 이상이 도난당한 것으로 보인다"고 쓰면서 해커의 지갑이 토네이도 Cash .
Kelp의 첫 공식 성명은 드레인 발생 후 두 시간 반이 넘은 X 날짜에 나왔습니다. 프로토콜 측은 "오늘 오전 rsETH와 관련된 의심스러운 크로스체인 활동을 확인했습니다."라고 밝혔습니다. " dent trac (RCA)을 진행하고 있습니다."
Aave Aave V3와 V4 모두에서 모든 rsETH 거래를 중단했습니다. 프로토콜 측은 X 플랫폼을 통해 취약점이 Aave자체trac이 아닌 rsETH에 있었다고 확인했습니다. Aave "이번 취약점 발생 이후 Aave 에서 발생한 rsETH 대출 관련 정보를 검토 중이며, 가능한 한 빨리 자세한 내용을 공유하겠습니다."라고 밝혔습니다. Aave 팀은 또한 손실을 만회할 방안을 모색하고 있습니다.
Aave 하루 만에 10.65% 하락하여 103.86달러를 기록했습니다. Ethereum 약 3% 하락하여 현재 2,358.24달러에 거래되고 있습니다.
케플러DAO에 대한 공격은 2026년 현재까지 최대 규모의 암호화폐 탈취 사건인 드리프트 프로토콜(Drift Protocol)의 2억 8600만 달러 규모 해킹 사건 발생 후 2주도 채 되지 않아 일어났습니다. Cryptopolitan 보도에 따르면, 드리프트 프로토콜 해킹은 바이비트(Bybit)에서 14억 달러를 훔친 것과 동일한 그룹과 연관되어 있습니다.
KelpDAO는 이제 2026년 최대 암호화폐 해킹 사건 목록에서 2위를 차지했습니다.
