시장
이 기사 공유하기

Aave, 2억 3천만 달러 규모의 rsETH 익스플로잇으로 브리지 리스크 노출 후 상장 기준 전면 개편

공식 사후조사 결과, 해당 익스플로잇은 LayerZero 브리지 검증 실패에서 기인한 것으로 확인되었으며, DeFi 리스크가 스마트 계약 버그를 넘어 확장됨에 따라 Aave의 자산 상장 기준에 대한 대대적인 전면 개편이 제시되었습니다.

작성자 Sam Reynolds|편집자 Shaurya Malwa
업데이트됨 2026년 6월 1일 a.m. 8:34 게시됨 2026년 6월 1일 a.m. 5:04 2 min readAI 번역
(Pexels/Pixabay)

알아야 할 것:

  • Aave는 2026년 rsETH 기록적 익스플로잇이 Aave 자체 스마트 계약의 버그가 아닌 KelpDAO의 LayerZero 기반 브리지 실패에서 기인했다고 밝혔으며, 이에 따라 모든 V3 자산 및 상장 기준에 대한 전면적인 검토를 진행하고 있다고 전했다.
  • Aave는 사후 분석을 통해 공격자들이 단일 LayerZero 검증자를 악용하여 크로스체인 메시지를 위조하고 이더리움에서 116,500개의 담보 없는 rsETH를 발행한 과정을 상세히 설명하며, 다리(브리지) 및 기타 오프체인 인프라에 내재된 숨겨진 위험을 드러냈다.
  • Aave는 브릿지, 오라클, 커스터디 및 운영 보안을 면밀히 검토하기 위해 리스크 프레임워크를 전면 개편할 계획이며, 담보 대출 권한을 즉시 박탈할 수 있는 자동 방어 시스템을 추가하고, 노출을 억제하기 위해 이미 수백 건의 파라미터 변경을 단행하였습니다.

가장 비싼 2026년 디파이(DeFi) 공격는 Aave 코드의 버그가 아니라 KelpDAO의 재스테이킹된 이더(rsETH) 브리지에서 시작되었습니다. 이는 대출 프로토콜이 에서 주장하는 바입니다.이번 주 공식 사후 분석 보고서가 발표되었습니다, 바로 그것이 업계가 리스크 측정 방식을 재고해야 하는 이유입니다.

Aave는 4월에 발생한 230 ETH 재스테이킹 익스플로잇이 새로운 유형의 디파이 리스크를 드러낸 이후, V3에 상장된 모든 자산에 대한 검토를 시작하고 상장 기준을 재작성할 것이라고 밝혔습니다.

프로토콜의 사후 분석에 따르면 이번 공격은 Aave 스마트 계약의 결함 때문이 아니라 LayerZero 브릿지 검증 실패에서 비롯된 것으로, 단 한 명의 검증자가 위조된 크로스체인 메시지를 승인하여 116,500개의 담보되지 않은 rsETH가 유출되었습니다.

앞으로 Aave는 전통적으로 평가해온 금융 및 스마트 계약 위험과 함께 브리지, 오라클 의존성, 수탁자 및 운영 보안도 담보 평가에 반영할 것이라고 밝혔습니다.

KelpDAO는 이미 이더리움에 잠긴 이더를 사용자가 스테이킹 보상을 얻으면서 동시에 담보로 다시 활용하여 다른 프로토콜에서 추가 수익을 올릴 수 있게 해주는 '재스테이킹' 서비스입니다. 토큰 rsETH는 사용자가 재스테이킹한 이더에 대한 청구권을 나타냅니다. rsETH를 블록체인 간에 이동시키기 위해 KelpDAO는 LayerZero를 사용하는데, 이는 서로 다른 네트워크 간에 메시지를 전달하는 크로스체인 브리지라는 인프라입니다. 이를 통해 한 체인에서 발행된 토큰이 다른 체인에 나타날 수 있습니다.

브리지는 수신 체인이 해당 토큰을 발행하기 전에 각 메시지가 진본임을 확인하는 독립 검증자 집합에 의존합니다.

4월 공격에서, 해당 검증자 중 단 한 명만이 위조된 메시지를 승인하여 공격자가 실제 이더가 뒷받침되지 않은 상태에서 수신 체인에서 116,500 rsETH를 발행할 수 있게 되었습니다.

해당 토큰들은 이후 사용자가 담보로 게시한 자산을 기반으로 대출을 제공하는 대출 프로토콜인 Aave에 예치되었으며, rsETH가 무가치한 것으로 밝혀진 이후 Aave가 회수할 수 없는 대출을 받는 데 사용되었습니다. Aave의 자체 코드는 설계된 대로 정확히 작동했습니다. 수용된 담보가 가짜로 판명된 이유는 이를 전달한 브릿지가 침해당했기 때문입니다.

레이어제로(LayerZero)는 이달 초 자사가 "실수를 저질렀다" 고유한 검증 시스템을 통해 일대일 구성의 고가치 자산을 보호할 수 있게 함으로써, Aave의 사후 분석은 이번 사건을 계기로 DeFi 위험 관리의 전면 개편을 정당화하는 데까지 나아갔습니다.

이 프로토콜은 전통적인 리뷰가 변동성, 유동성 및 스마트 계약 감사에 중점을 두었으나, 브리지, 검증 네트워크 및 애플리케이션 코드 외부에 위치한 기타 인프라가 초래하는 위험을 포착하지 못했다고 주장합니다.

Aave는 스마트 계약 감사 및 재무 위험 분석을 넘어, 담보 목록 승인 혹은 확장 전에 브리지 인프라, 오라클 의존성, 제3자 계약, 수탁자 계약, 운영 보안 관행, 그리고 이차 시장 유동성을 평가할 것이라고 밝혔습니다.

해당 프로토콜은 또한 담보 자산에 위험 신호가 나타날 때 더 신속하게 대응할 수 있도록 설계된 새로운 자동 방어 시스템을 구축하고 있습니다. 사후 분석에 제시된 제안 중에는 사전에 정의된 위험 임계값이 초과되면 자산의 대출 대비 가치 비율을 자동으로 0으로 낮춰 손실이 시장 전반에 확산되기 전에 차입 권한을 제거하는 시스템이 포함되어 있습니다.

이번 익스플로잇 이후, Aave는 리스크 매니저들이 V3 마켓 전반에 걸쳐 약 295건의 파라미터 변경을 이미 실행했으며, 여기에는 개별 자산에 대한 노출을 제한하기 위한 168건의 공급 한도 축소와 66건의 차입 한도 축소가 포함된다고 밝혔습니다.

DeFi 프로토콜이 점점 더 상호 연결됨에 따라, Aave의 사후 분석은 업계가 상장하는 자산뿐만 아니라 해당 자산이 의존하는 인프라에 대해서도 면밀히 검토할 필요가 있음을 시사합니다

Di più per voi

전략, 4개월 연속 STRC 배당률 11.5% 유지

Di James Van Straten|Editor Jamie Crawley
1 ora fa
Strategy Executive Chairman Michael Saylor (CoinDesk Television)

회사는 수익률 안정성, ATM 발행 역량 및 비트코인 매입 전략을 균형 있게 조정하면서 우선주는 100달러 액면가 근처에 머물러 있습니다.

Cosa sapere:

  • STRC의 배당률은 월간 VWAP가 $99.62에 도달한 후에도 11.5%로 변함없었으며, 이를 통해 Strategy는 주가가 $100 목표 액면가에 근접한 수준에서 거래되도록 유지할 수 있었습니다.
  • STRC를 액면가 근처에서 유지하는 것은 Strategy가 ATM 프로그램을 통해 주식을 발행하여 비트코인 매입, 부채 관리 및 기타 기업 자금 조달 필요에 필요한 자본을 조성하는 데 있어 매우 중요합니다.
Leggi tutta la storia