왜 $292M KelpDAO 해킹이 스마트 계약 감사만으로는 충분하지 않다는 것을 증명하는가
발행: (2026년 4월 29일 AM 03:31 GMT+9)
3 분 소요
원문: Dev.to
Source: Dev.to
“유효한” 악용
KelpDAO 사건은 온체인 트랜잭션이 100 % 정상적으로 보였기 때문에 무섭습니다. 서명이 검증되고, 메시지가 전달되었으며, 116,500 rsETH가 이동했습니다.
인프라스트럭처 벡터
공격은 오프체인 검증 레이어를 노렸습니다. RPC 노드를 장악함으로써 공격자는 단일 장애 지점(1‑of‑1 DVN)에 잘못된 데이터를 주입했습니다.
자동화 파이프라인을 구축하는 사람으로서, 저는 이를 데이터 무결성 실패로 봅니다. 우리는 Solidity 코드에만 너무 집중해 데이터 파이프를 무시하고 있습니다.
하드웨어가 진화해야 하는 이유
2022년에는 하드웨어 지갑을 “키를 오프라인에 보관”하기 위해 사용했습니다.
2026년에는 하드웨어 지갑이 “페이로드를 감사”하도록 해야 합니다.
디바이스가 다음을 제공하지 못한다면:
원하는 하드웨어 기능
- 클리어 서명(Clear Signing): 헥스를 인간이 읽을 수 있는 의도로 디코딩합니다.
- 오픈소스 펌웨어(Open‑Source Firmware): 커뮤니티가 데이터 해석 방식을 검증할 수 있도록 합니다.
- SignGuard/시뮬레이션: 서명하기 전에 잔액 변화를 예측합니다.
…그렇다면 여러분은 매우 비싼 “Enter” 키를 사용하는 것과 다름없습니다.
결론
KelpDAO 해킹은 경각심을 일깨워 줍니다. 우리는 인프라를 신뢰하는 것을 멈추고 하드웨어 수준에서 의도를 검증해야 합니다.
현재 저는 이를 처리하는 몇 가지 “오픈소스‑우선” 스택을 검토 중입니다. 기술적인 해부는 곧 공개될 예정이니 기대해 주세요.