LayerZero, Kelp DAO 사태 정리 - 2026년 4월 18일, LayerZero Labs 인프라발 익스플로잇으로 DeFi에서 3억 달러+ 손실. 추가 1억 달러+ 위조 트랜잭션도 LayerZero Labs DVN에서 서명·처리됐는데, Kelp가 컨트랙트 일시중지로 막음. - LayerZero는 "Kelp의 1-1 DVN 설정이 원인"이라고 책임 떠넘김. 근데 팩트랑 안 맞음. - Dune 분석상 LayerZero OApp 약 2,665개 중 47%가 1-1 DVN, 45%가 2-2, 3-3 이상은 5%뿐. OFT 120개+가 1-1에 의존 중. 90일간 메시지 90%가 LayerZero Labs DVN 사용. Kelp만의 설정이 아니라 사실상 생태계 표준이었음. - 더 결정적인 건 LayerZero 공식 Quickstart 문서랑 OFT 기본 템플릿이 1-1을 디폴트로 박아놨다는 점. - 즉 자기들이 깔아놓은 기본값이 터진 건데 사용자 탓을 함. 게다가 Telegram에서 LayerZero 팀원이 Kelp의 1-1 설정을 명시적으로 OK라고 한 기록까지 있음. - 공격자가 LayerZero Labs DVN이 쓰는 RPC 노드 목록에 접근 → 별도 클러스터의 독립 노드 2개 침해 → op-geth 바이너리 교체 → RPC 스푸핑으로 위조 메시지 서명 유도. - LayerZero는 이걸 "RPC 스푸핑 공격"으로 프레이밍하는데, 독립 보안 연구자들은 "이건 신뢰 경계 내부의 인프라 침해"라고 못박음. Seal911, banteg 등 독립 보고서 결론이 다 같음. LayerZero 코어 인프라에서 발생한 사고. - 디폴트 Gasolina AWS 배포가 인증·WAF·IP 화이트리스트 다 빠진 채로 퍼블릭 게이트웨이 노출. RPC quorum 디폴트가 1-1로 박혀 있어서 멀티 프로바이더 합의 자체가 안 됨. 핵심 파라미터는 변경 가능한 S3 버킷에 저장. - 2024년 12월 Bryan(LayerZero)이 "1-1 LayerZero DVN 쓰는 앱 단 하나도 없다"고 공언. 근데 그 시점 rsETH가 약 2억 달러 TVL을 1-1로 굴리고 있었고, LayerZero가 직접 통합 발표까지 했었음. - 보안 연구자가 동일한 1-1 DVN 취약점을 버그 바운티로 신고했는데 "의도된 동작"이라고 종결시킴. 알고 있었다는 얘기. - 사고 후에야 "1-1 DVN 쓰는 앱은 더 이상 메시지 서명 안 함"이라고 정책 바꿈. 실패하고 나서야 바꾼 거면 그동안 위험을 알고도 방치한 거임. - Dinari/Skale 같은 통합 체인은 지금도 LayerZero Labs DVN이 유일한 attestor임. 1-1 외에 선택지가 없는 구조를 자기들이 만들어놓고 사용자 탓. - LayerZero Labs DVN이랑 Nethermind DVN이 ADMIN_ROLE 주소를 다수 공유. 2026년 4월 8일 기준 10개 주소 중복, 2025년 2월 6일 추가로 5개. - ADMIN_ROLE이면 일시중지·파라미터 변경·가격 변경 다 가능. 즉 2-2, 3-3으로 올려도 운영 권한이 겹쳐 있으면 상관된 실패(correlated failure) 위험이 그대로 남음. - DVN 다양화의 본질이 신뢰 경계 분리인데 그 전제가 깨짐. - 실제로 페어드 DVN 디폴트에서 이미 사고 있었음. Stargate 9.5시간 다운, LayerZero Labs DVN 페어 2-2 구성에서 70만 달러 익스플로잇. - RPC 엔드포인트 목록은 어떻게 새어나갔는지, 바이너리 무결성 검증은 왜 없었는지, 침해된 노드 dwell time은 얼마였는지, 자체 모니터링은 왜 작동 안 했는지(Kelp가 먼저 신고함), 모든 DVN이 분산되어 있다는데 왜 사고 후 여러 DVN을 동시에 내렸는지는 아직 미해결된 의문임. - 결론은 LayerZero가 자기 인프라 침해를 사용자 설정 탓으로 돌렸는데, 그 설정은 자기들이 디폴트로 박아놓고 공식적으로 OK까지 해준 거였음. 게다가 DVN 독립성도 ADMIN_ROLE 공유로 깨져 있어서 2-2든 3-3이든 근본 해결이 안 됨. https://x.com/KelpDAO/status/2051754226351771772