"소프트웨어는 복잡해지고 신뢰하기 어려워지고, AI는 강력하지만 불투명함, 인터넷 인프라는 그 어느 때보다 집중화됨. 이 환경에서 크립토가 원래 제공하려던 속성들이 더 가치있어짐" a16z 믿고 몰빵갑니다.

a16z, $2.2B 크립토 펀드 5호 발표 - 크립토 사이클은 패턴이 있음. 투기로 자본 몰리고, 일부는 낭비되지만 일부는 인프라가 됨. 노이즈 가라앉으면 남는 게 정점 때보다 유용하고, 바닥 때보다 견고함. - 지금이 그 "조용한 구간"이고, 신호는 최근 몇 년 중 가장 긍정적임. - 증거 1: 스테이블코인 거래량은 시장 따라 출렁이지만 스테이블코인 사용량은 하락장에도 계속 증가함. 저축, 송금, 결제에 쓰이고 있음. 가격 기대가 아니라 유용성 때문에 복리로 늘어나는 네트워크 채택 패턴임. - 증거 2: 자본시장 온체인화 perp(가격 발견), 예측시장(진실 발견), 온체인 렌딩(스테이블코인 신용시장)이 의미있게 성장함. 전통자산이 온체인으로 들어오고, 온체인 금융이 네트워크 토큰 외 자산까지 다룸. 24시간 돌고, 거의 즉시 정산되고, 비용 거의 0이고, 누구나 접근 가능한 금융 시스템이 형성 중임. - 증거 3: 규제 GENIUS Act가 좋은 예시. 명확한 정의, 강한 보호장치, 빌더 공간 확보. 입법과 룰메이킹으로 추가 진전 예상. - 왜 지금? 소프트웨어는 복잡해지고 신뢰하기 어려워지고, AI는 강력하지만 불투명함, 인터넷 인프라는 그 어느 때보다 집중화됨. 이 환경에서 크립토가 원래 제공하려던 속성들이 더 가치있어짐: - 투명하고 검증 가능한 시스템. 글로벌인 네트워크 유저/창작자/개발자/운영자가 정렬되는 경제 모델 소수 중개자에 의존하지 않는 인프라임. - 글로벌 즉시 송금, 은행 없이 달러 보유, 자산 토큰화, 컴포저블 네트워크. 추가로 새 모델들도 가능해짐. 유저가 자산/정체성을 직접 소유, AI 에이전트 무리가 유저 대신 결정·실행·결제, 자율 네트워크가 코드로 자가 자금조달·거버넌스·진화. - 펀드 5호는 이 순간을 위한 것임. 사이클에서 주목 덜 받지만 지속 가치를 만드는 부분, 새 인프라를 일상 제품으로 전환하는 창업자들에 베팅함. https://x.com/cdixon/status/2051633104549502989

LayerZero, Kelp DAO 사태 정리 - 2026년 4월 18일, LayerZero Labs 인프라발 익스플로잇으로 DeFi에서 3억 달러+ 손실. 추가 1억 달러+ 위조 트랜잭션도 LayerZero Labs DVN에서 서명·처리됐는데, Kelp가 컨트랙트 일시중지로 막음. - LayerZero는 "Kelp의 1-1 DVN 설정이 원인"이라고 책임 떠넘김. 근데 팩트랑 안 맞음. - Dune 분석상 LayerZero OApp 약 2,665개 중 47%가 1-1 DVN, 45%가 2-2, 3-3 이상은 5%뿐. OFT 120개+가 1-1에 의존 중. 90일간 메시지 90%가 LayerZero Labs DVN 사용. Kelp만의 설정이 아니라 사실상 생태계 표준이었음. - 더 결정적인 건 LayerZero 공식 Quickstart 문서랑 OFT 기본 템플릿이 1-1을 디폴트로 박아놨다는 점. - 즉 자기들이 깔아놓은 기본값이 터진 건데 사용자 탓을 함. 게다가 Telegram에서 LayerZero 팀원이 Kelp의 1-1 설정을 명시적으로 OK라고 한 기록까지 있음. - 공격자가 LayerZero Labs DVN이 쓰는 RPC 노드 목록에 접근 → 별도 클러스터의 독립 노드 2개 침해 → op-geth 바이너리 교체 → RPC 스푸핑으로 위조 메시지 서명 유도. - LayerZero는 이걸 "RPC 스푸핑 공격"으로 프레이밍하는데, 독립 보안 연구자들은 "이건 신뢰 경계 내부의 인프라 침해"라고 못박음. Seal911, banteg 등 독립 보고서 결론이 다 같음. LayerZero 코어 인프라에서 발생한 사고. - 디폴트 Gasolina AWS 배포가 인증·WAF·IP 화이트리스트 다 빠진 채로 퍼블릭 게이트웨이 노출. RPC quorum 디폴트가 1-1로 박혀 있어서 멀티 프로바이더 합의 자체가 안 됨. 핵심 파라미터는 변경 가능한 S3 버킷에 저장. - 2024년 12월 Bryan(LayerZero)이 "1-1 LayerZero DVN 쓰는 앱 단 하나도 없다"고 공언. 근데 그 시점 rsETH가 약 2억 달러 TVL을 1-1로 굴리고 있었고, LayerZero가 직접 통합 발표까지 했었음. - 보안 연구자가 동일한 1-1 DVN 취약점을 버그 바운티로 신고했는데 "의도된 동작"이라고 종결시킴. 알고 있었다는 얘기. - 사고 후에야 "1-1 DVN 쓰는 앱은 더 이상 메시지 서명 안 함"이라고 정책 바꿈. 실패하고 나서야 바꾼 거면 그동안 위험을 알고도 방치한 거임. - Dinari/Skale 같은 통합 체인은 지금도 LayerZero Labs DVN이 유일한 attestor임. 1-1 외에 선택지가 없는 구조를 자기들이 만들어놓고 사용자 탓. - LayerZero Labs DVN이랑 Nethermind DVN이 ADMIN_ROLE 주소를 다수 공유. 2026년 4월 8일 기준 10개 주소 중복, 2025년 2월 6일 추가로 5개. - ADMIN_ROLE이면 일시중지·파라미터 변경·가격 변경 다 가능. 즉 2-2, 3-3으로 올려도 운영 권한이 겹쳐 있으면 상관된 실패(correlated failure) 위험이 그대로 남음. - DVN 다양화의 본질이 신뢰 경계 분리인데 그 전제가 깨짐. - 실제로 페어드 DVN 디폴트에서 이미 사고 있었음. Stargate 9.5시간 다운, LayerZero Labs DVN 페어 2-2 구성에서 70만 달러 익스플로잇. - RPC 엔드포인트 목록은 어떻게 새어나갔는지, 바이너리 무결성 검증은 왜 없었는지, 침해된 노드 dwell time은 얼마였는지, 자체 모니터링은 왜 작동 안 했는지(Kelp가 먼저 신고함), 모든 DVN이 분산되어 있다는데 왜 사고 후 여러 DVN을 동시에 내렸는지는 아직 미해결된 의문임. - 결론은 LayerZero가 자기 인프라 침해를 사용자 설정 탓으로 돌렸는데, 그 설정은 자기들이 디폴트로 박아놓고 공식적으로 OK까지 해준 거였음. 게다가 DVN 독립성도 ADMIN_ROLE 공유로 깨져 있어서 2-2든 3-3이든 근본 해결이 안 됨. https://x.com/KelpDAO/status/2051754226351771772