LayerZero, KelpDAO 익스플로잇을 라자루스 하위 조직 TraderTraitor와 연계

핵심 포인트

LayerZero는 2026년 4월 18일 KelpDAO 익스플로잇의 배후로 북한의 라자루스 그룹, 특히 TraderTraitor 하위 조직이 유력하다는 예비 정황이 있다고 밝혔다. LayerZero는 공격자가 자사 DVN이 거래 검증에 의존한 RPC들의 정족수를 손상시켜 하위 RPC 인프라를 조작했다고 밝혔다. LayerZero는 이번 공격이 프로토콜, DVN 또는 키 관리를 악용한 것은 아니라고 밝혔다. 이번 탈취는 4월 1일 발생한 2억8,500만 달러 규모의 Drift Protocol 해킹을 넘어선, 2026년 최대 DeFi 손실로 설명됐다. Chainalysis 데이터에 따르면 북한 연계 해커들은 2025년에 암호화폐 플랫폼에서 사상 최대인 20억2,000만 달러를 탈취했으며, 이는 전년 대비 51% 증가한 수치다.

왜 중요한가: 국가 연계 공격이 거래 검증 인프라를 겨냥했다는 점은 DeFi 전반의 신뢰 우려를 심화시킬 수 있으며, 공유 인프라가 더 광범위한 취약점으로 인식될 경우 사용자들을 더욱 신중하게 만들 수 있다.

시장 심리

약세, 스트레스 국면, 이벤트 주도, 공포.

이유: LayerZero는 공격자가 자사 DVN에 사용된 RPC들의 정족수를 손상시켰다고 밝혔으며, 이는 고립된 스마트 컨트랙트 버그가 아니라 인프라 리스크를 시사한다.

유사 과거 사례

2025년 2월, Bybit는 라자루스와 연계된 해킹으로 약 14억6,000만 달러를 잃었고, CoinDesk는 2025년 2월 24일 해당 거래소가 대출, 예치금, ETH 매수를 통해 자금을 조달한 뒤 며칠 내 고객 자산의 1:1 담보를 복구했다고 보도했다. (CoinDesk) (coindesk.com) 이번 사례는 Bybit가 중앙화 거래소 지갑 사건이었던 반면, 현재 사례는 거래 검증에 사용되는 RPC 인프라가 관련됐다는 점에서 다르다.

파급 효과

이번 사건은 DeFi 사용자들이 공유 RPC 및 검증 인프라에 대한 의존도를 재평가하게 만들 수 있으며, 이는 TVL 압박이 직접 피해를 입은 프로토콜을 넘어 더 광범위하게 이어지게 할 수 있다. 사용자가 인프라 노출을 개별 문제가 아니라 업종 전반의 문제로 받아들일 경우, DeFi 전반의 대출 및 유동성 여건은 취약한 상태를 유지할 수 있다. 주요 DeFi 플랫폼 전반에서 TVL 감소가 계속된다면, 파급 효과는 단일 익스플로잇에서 더 광범위한 위험선호 축소로 옮겨가고 있다는 뜻이 된다.

기회와 리스크

기회: LayerZero나 KelpDAO가 더 완전한 기술적 사후 분석을 내놓을 경우, 이번 사건이 RPC 인프라에 국한된 것인지, 아니면 더 광범위한 검증 취약성을 반영하는지 재평가할 수 있는 잠재적 신호가 된다. 그 업데이트 이후 DeFi TVL이 안정된다면, DeFi 리스크에 대한 선별적 재진입은 전염 리스크가 더 적을 수 있다.

리스크: 더 많은 프로토콜이 유사한 RPC 또는 검증 의존성을 공개할 경우, DeFi 익스포저를 줄이는 것은 더 광범위한 신뢰 훼손에 따른 하방 위험을 제한할 수 있다. 주요 DeFi 플랫폼 전반에서 TVL이 계속 하락할 경우, 이는 파급 효과가 직접 피해를 입은 프로토콜을 넘어가고 있다는 경고다.