Skip to content
Published on

크로스체인 인터오퍼러빌리티 2026 완벽 가이드 - BIFROST · LayerZero v2 · Wormhole · Axelar · Cosmos IBC · Polkadot XCM · Chainlink CCIP · Hyperlane 심층 분석

🇰🇷KO🇺🇸EN🇯🇵JA
Split View필사 모드
Authors

들어가며 — 2026년 5월, 브리지는 "검증자 네트워크와 인텐트 프로토콜" 뒤로 숨었다

크로스체인 브리지의 역사는 곧 해킹의 역사다. 2021년 Poly Network 6.1억 달러, 2022년 Ronin 6.25억 달러, Wormhole 3.26억 달러, Nomad 1.9억 달러, Harmony Horizon 1억 달러, 2023년 Multichain 약 1.3억 달러 증발 후 사실상 소멸 — 누적 약 28억 달러가 브리지에서 사라졌다. rekt.news 리더보드 상위 10건 중 절반이 브리지다.

그래서 2026년 5월의 크로스체인은 두 갈래로 굳어졌다. 한쪽은 light-client 또는 검증자 네트워크 기반 메시지 패싱(LayerZero v2 DVN, Wormhole 가디언, Axelar GMP, Hyperlane ISM, Chainlink CCIP, Cosmos IBC, Polkadot XCM, Hyperlane permissionless validator), 다른 한쪽은 인텐트 기반 빠른 실행 + 사후 정산(Across, Squid, UniswapX cross-chain, CoW Swap CCT, deBridge DLN). 한국에서는 BIFROST Network가 자체 토큰 BFC와 BiFi 프로토콜을 축으로 EVM 호환 멀티체인 DeFi를 끌고 가고 있다. 이 글은 마케팅이 아니라 트러스트 모델, 검증자 셋, 해킹 이력, TVL, EigenLayer AVS 통합까지 정직하게 본다.

브리지 분류학 — 5가지 모델로 정리하기

브리지를 한 줄로 묶지 마라. 신뢰 가정이 완전히 다르다. 2026년 5월 기준 의미 있는 모델은 5가지다.

  1. Light client / native verification: 상대 체인의 합의를 직접 검증한다. Cosmos IBC, Polkadot XCM, NEAR Rainbow Bridge가 대표. 가장 신뢰 가정이 약하지만 구현이 비싸다.
  2. External validator set (M-of-N): 외부 검증자 다수결로 메시지를 보증한다. Wormhole(가디언 19명), Axelar(검증자 약 75명), Polygon zkEVM Bridge(이전), Ronin(검증자 9명, 2022년 5/9 키 탈취) 등.
  3. Optimistic verification: 메시지를 일단 보내고 분쟁 기간 내 도전을 받는다. Nomad가 대표였고 2022년 8월 1.9억 달러 익스플로잇 후 사실상 폐기. Across는 UMA Optimistic Oracle을 정산 단계에만 쓴다.
  4. Liquidity pool / mint-burn hybrid: 양쪽에 풀을 두고 lock-and-mint 또는 burn-and-mint 한다. Stargate, Hop, Synapse, Connext 등. 자본 효율이 낮지만 사용자 UX가 빠르다.
  5. Intent / cross-chain solver: 사용자가 의도(intent)만 서명하고, 외부 솔버(solver)가 양쪽 체인에서 자산을 채우고 사후 정산받는다. Across v3, UniswapX cross-chain, CoW CCT, deBridge DLN, Squid Router, Socket의 Bungee, 1inch Fusion+ 등.

LayerZero v2와 Chainlink CCIP, Hyperlane은 "general message passing(GMP) + 라우팅"이라는 한 단계 상위 카테고리에 들어간다 — 자산 이동만 하는 게 아니라 임의 메시지(read/write call)를 전달한다.

트러스트 모델 — 1-of-N, M-of-N, N-of-N의 차이

브리지 보안의 본질은 "몇 명을 매수해야 자산을 가져갈 수 있는가"다.

  • 1-of-N: 정직한 1명만 있으면 안전. 즉 모든 검증자가 담합해야 도난. 광학적으로 가장 안전. Optimistic 모델, light client, ZK proof 검증이 여기 가깝다.
  • M-of-N (M < N/2): 소수가 담합하면 메시지를 위조할 수 있다. Wormhole 13/19(가디언 다수결), Ronin 5/9, Multichain MPC 약 ?/21(불투명). 키 탈취 1건이 전체 자산을 노린다.
  • N-of-N: 모두가 정직해야 안전. 매우 약함. 거의 안 쓰임.
  • Validator-as-stake (Cosmos, Polkadot, Axelar): 검증자가 스테이크를 잠그고 부정행위시 슬래시. 경제적 보안이 들어가지만 stake 가치에 종속된다.

Vitalik Buterin이 2022년 1월 "the multi-chain future, not cross-chain"이라고 쓴 글의 요지가 여기서 살아 있다. 51% 공격 영역(zone of sovereignty)이 다르기 때문에 자산은 "출발 체인의 보안"에만 안전하고, 브리지 자체가 추가 신뢰를 요구한다는 것.

BIFROST Network — 한국 발 멀티체인 DeFi 인프라

BIFROST Network는 한국 PiLab Solutions가 2018년부터 만들어 온 EVM 호환 L1 + 멀티체인 미들웨어다. 2026년 5월 기준:

  • 체인 ID: 메인넷 0xBFC0(48851), Testnet 0xBFC0(49088)
  • Native token: BFC, 가스 토큰으로 BFC와 BiFi가 공존
  • 합의: BFT-PoS 기반 PoSDAO 변형
  • BiFi: Bifrost 위에서 작동하는 멀티체인 렌딩 + 스왑 DeFi. ETH, BTC(WBTC), BNB, USDC 등을 자체 멀티시그 + 릴레이어로 끌어들임
  • BiFi X: 외부 체인에서 BiFi의 풀을 직접 호출하는 cross-chain interface
  • 국내 거래소 상장: 업비트 BFC/KRW, 빗썸 BFC/KRW

한국 가상자산 시장에서 의미가 있는 이유는 단일 체인 토큰이 아니라 한국 개발진이 만든 멀티체인 인프라이고, FSC의 "가상자산이용자보호법" 1단계가 2024년 7월 시행된 후에도 KYC 친화적으로 디자인됐다는 점이다. BFC는 거래소 상장 코인이라 가상자산법 적용 대상이지만, BIFROST 체인 자체는 EVM 호환이라 메타마스크 등으로 직접 접근 가능하다.

다음은 BiFi의 단순화한 lending pool 인터페이스다.

// BiFi-style cross-chain lending pool (simplified)
// SPDX-License-Identifier: Apache-2.0
pragma solidity ^0.8.20;

interface IBiFiPool {
    struct UserAccount {
        uint256 deposit;     // underlying units
        uint256 borrow;      // underlying units
        uint256 lastUpdated; // block timestamp
    }

    event Deposit(address indexed user, uint256 amount, uint16 srcChainId);
    event Borrow(address indexed user, uint256 amount, uint16 dstChainId);
    event Repay(address indexed user, uint256 amount, uint16 srcChainId);

    function deposit(uint256 amount, uint16 srcChainId) external;
    function borrow(uint256 amount, uint16 dstChainId, address to) external;
    function liquidate(address borrower, uint256 repay, address collateralAsset) external;

    function getAccount(address user) external view returns (UserAccount memory);
    function utilizationRate() external view returns (uint256); // 1e18 scale
}

srcChainId, dstChainId가 외부 메시지 릴레이(Bifrost Relayer)를 통해 들어온다. 이런 패턴은 BIFROST뿐 아니라 LayerZero 기반 dApp에서도 표준이 됐다.

Polkadot — 공유 보안과 XCM v3/v4

Polkadot의 인터오퍼러빌리티는 다른 모델이다. 모든 파라체인(parachain)이 릴레이 체인의 검증자 풀을 공유하기 때문에, 파라체인 간 메시지는 외부 검증자가 없다. XCM(Cross-Consensus Message Format) v3/v4가 메시지 포맷이다.

XCM 메시지는 명령 시퀀스다. 대표 명령:

  • WithdrawAsset: 출발지 sovereign account에서 자산을 빼낸다.
  • BuyExecution: 수수료 지불.
  • DepositAsset: 목적지 account로 자산을 넣는다.
  • Transact: 임의 dispatchable 호출.

JSON-like 표기로 본 XCM 예시:

{
  "V3": [
    { "WithdrawAsset": [{ "id": { "Concrete": { "parents": 0, "interior": "Here" } }, "fun": { "Fungible": "1000000000000" } }] },
    { "BuyExecution": { "fees": { "id": { "Concrete": { "parents": 0, "interior": "Here" } }, "fun": { "Fungible": "1000000000000" } }, "weight_limit": "Unlimited" } },
    { "DepositAsset": { "assets": { "Wild": "All" }, "beneficiary": { "parents": 0, "interior": { "X1": { "AccountId32": { "network": null, "id": "0x..." } } } } } }
  ]
}

XCM은 자산 이동만이 아니라 Transact로 다른 체인의 pallet 함수를 호출한다는 점에서 LayerZero 메시지보다 표현력이 강하다. 단점은 Polkadot 에코시스템 밖으로 나가려면 별도 브리지(Snowbridge, t3rn 등)가 필요하다는 것.

Cosmos IBC — 가장 오래된 light-client 표준

Cosmos의 **IBC(Inter-Blockchain Communication)**는 2021년 메인넷 이후 누적 해킹 0건이라는 점에서 가장 보수적인 설계가 검증된 사례다. 핵심 아이디어:

  • 양쪽 체인이 서로의 light client를 보유한다(Tendermint header verification).
  • 메시지는 packet 단위로 commit/relay/receive/ack 4단계.
  • 채널은 ordered/unordered, 포트는 application 식별자.

IBC v2(Eureka)가 2025년부터 EVM 체인까지 확장 중이다. ICS-20은 fungible token transfer, ICS-27은 interchain accounts(다른 체인의 트랜잭션을 원격 서명), ICS-721은 NFT다.

IBC packet 구조 예:

{
  "sequence": 12345,
  "source_port": "transfer",
  "source_channel": "channel-141",
  "destination_port": "transfer",
  "destination_channel": "channel-2",
  "data": "eyJkZW5vbSI6InVhdG9tIiwiYW1vdW50IjoiMTAwMDAwMCIsInNlbmRlciI6Imdvc21vc..." ,
  "timeout_height": { "revision_number": 4, "revision_height": 19000000 },
  "timeout_timestamp": 0
}

data 필드는 ICS-20 JSON 페이로드(base64). 릴레이어(hermes, go-relayer)가 양쪽 체인에서 header proof와 packet commitment를 들고 다니며 검증한다. 외부 신뢰 없이 양쪽 체인의 합의만 검증한다는 점에서 광학적으로 가장 안전한 일반화 가능 모델이다.

LayerZero v2 — DVN(Decentralized Verifier Network) 아키텍처

LayerZero는 2022년 v1을 Endpoint + Oracle + Relayer 2-of-2 모델로 시작했고, 2024년 v2부터 DVN(Decentralized Verifier Network) 모델로 전환했다. 2026년 5월 기준 지원 체인 90개 이상.

v2의 핵심:

  • Endpoint: 체인마다 하나의 표준 컨트랙트. 메시지 송수신 ABI.
  • DVN: 검증자 노드 풀. dApp이 N개 DVN을 선택하고 그중 X개의 서명이 모이면 메시지가 commit된다(예: "Google Cloud DVN + Polyhedra DVN + Nethermind DVN, 3-of-3").
  • Executor: 목적지에서 트랜잭션을 실행하는 자.
  • ULN(UltraLightNode): light-client 스타일 헤더 검증을 chain-by-chain pluggable하게 끼울 수 있다.

LayerZero의 보안 가정은 "내가 선택한 DVN들이 모두 담합하지 않는다"이다. dApp이 DVN 구성에 책임을 지는 모델이라 통일된 보안 수준을 강제하지 않는다는 비판도 있다.

LayerZero OApp 인터페이스의 전형은 다음과 같다.

// OApp pattern (LayerZero v2)
import { OAppSender, OAppReceiver } from "@layerzerolabs/oapp-evm/contracts/oapp/OApp.sol";
import { MessagingFee, MessagingReceipt } from "@layerzerolabs/oapp-evm/contracts/oapp/OAppCore.sol";

contract MyCrossChainCounter is OAppSender, OAppReceiver {
    uint256 public counter;

    function increment(uint32 dstEid, bytes calldata options) external payable returns (MessagingReceipt memory) {
        bytes memory payload = abi.encode(counter + 1);
        MessagingFee memory fee = _quote(dstEid, payload, options, false);
        require(msg.value >= fee.nativeFee, "fee");
        return _lzSend(dstEid, payload, options, fee, payable(msg.sender));
    }

    function _lzReceive(
        Origin calldata,
        bytes32,
        bytes calldata payload,
        address,
        bytes calldata
    ) internal override {
        counter = abi.decode(payload, (uint256));
    }
}

dApp 측에서는 dstEid(endpoint id), options(gas hint, native drop)만 다루면 되고, DVN 선택은 OAppConfig에서 사전 설정한다.

Wormhole — 가디언 셋과 NTT

Wormhole은 2022년 2월 솔라나-이더리움 브리지에서 12만 wETH(약 3.26억 달러)가 도난당한 트라우마를 안고 있다(컨트랙트 signature verification 우회 버그). 이후 가디언 셋 거버넌스를 강화하고 2024년 Native Token Transfers(NTT) 표준을 도입해 wrapping 없는 burn-and-mint를 표준화했다.

  • Guardian Set: 19개 검증자(Jump Crypto, Certus One 등). 13/19 다수결로 VAA(Verified Action Approval) 서명.
  • VAA: 가디언 서명 묶음. 목적지 체인이 verify해서 메시지를 받아들인다.
  • NTT: 토큰 발행자가 burn-and-mint 정책을 설정. wrapped token 없이 ETH↔Solana로 native USDC 이동.
  • Wormhole Connect: SDK + UI 위젯.

Wormhole의 보안 가정은 "19개 가디언 중 7개 이상이 정직"이다. 13/19 임계치이므로 7개를 매수하면 위조 가능 — 2022년 버그처럼 컨트랙트 차원 익스플로잇 가능성도 별개로 남는다.

Axelar — GMP와 검증자 스테이킹

Axelar는 Cosmos SDK 기반 자체 체인 + 외부 EVM/비-EVM 게이트웨이 컨트랙트로 GMP(General Message Passing)를 제공한다.

  • 약 75개 검증자(2026년 5월), AXL 스테이킹.
  • Gateway: 각 체인에 배포된 컨트랙트. 메시지 송수신 + 자산 lock.
  • GMP: 임의 contract call payload를 다른 체인으로 보낸다. Squid Router가 이 GMP를 깔고 swap-and-bridge UX를 만든다.
  • ITS(Interchain Token Service): 자체 토큰을 여러 체인에 동시 배포하고 잔액을 동기화.

Axelar는 dApp이 별도 검증자를 고를 필요가 없는 통합 보안 모델이지만, 보안은 AXL 토큰의 시장 가치에 종속된다. 검증자가 부정행위시 슬래시된다.

Hyperlane — Permissionless ISM

Hyperlane은 "interoperability as middleware" 모토로 2023년 등장했다. 차별점은 ISM(Interchain Security Module)을 dApp이 직접 고른다는 것. 멀티시그 ISM, optimistic ISM, ZK ISM, EigenLayer AVS ISM 등을 plug-and-play로 조합한다.

  • Mailbox: 체인별 메시지 송수신 컨트랙트.
  • Validator + Relayer + Watcher: 오프체인 인프라.
  • ISM: 검증 정책. multisig, aggregation, routing.
  • Warp Routes: 토큰 브리지 표준.

2024년 EigenLayer AVS와 통합되어 restaked ETH 보안을 빌려오는 모드가 추가됐다. Hyperlane은 permissionless deployment를 허용해서 누구나 새 체인에 Mailbox를 띄울 수 있다.

Chainlink CCIP — Risk Management Network와 ARM

Chainlink CCIP는 2023년 7월 메인넷 이후 "엔터프라이즈 표준"을 노린다. 차별점:

  • Risk Management Network(ARM): 별개의 검증자 풀이 메인 commit 풀과 독립적으로 메시지를 재검증한다. 둘 다 통과해야 메시지가 final.
  • Programmable Token Transfers: 자산 + 임의 payload를 한 트랜잭션에 보낸다.
  • Rate limits: 라인당 capacity + refill rate. 익스플로잇 손해를 cap.
  • CCIP-Active Risk Management: 비정상 트래픽시 자동 일시중단.

Chainlink CCIP의 보안 모델은 "Commit DON + Executive DON + ARM, 3중 다수결"이라 가장 보수적이다. SWIFT와의 2023~2024년 PoC에서 채택된 이유 중 하나.

// CCIP send pattern
import {IRouterClient} from "@chainlink/contracts-ccip/src/v0.8/ccip/interfaces/IRouterClient.sol";
import {Client} from "@chainlink/contracts-ccip/src/v0.8/ccip/libraries/Client.sol";

contract CCIPSender {
    IRouterClient router;
    address feeToken;

    function send(uint64 dstSelector, address receiver, bytes calldata data, address token, uint256 amount) external returns (bytes32) {
        Client.EVMTokenAmount[] memory tokens = new Client.EVMTokenAmount[](1);
        tokens[0] = Client.EVMTokenAmount({ token: token, amount: amount });

        Client.EVM2AnyMessage memory message = Client.EVM2AnyMessage({
            receiver: abi.encode(receiver),
            data: data,
            tokenAmounts: tokens,
            extraArgs: Client._argsToBytes(Client.EVMExtraArgsV2({ gasLimit: 200_000, allowOutOfOrderExecution: false })),
            feeToken: feeToken
        });

        uint256 fee = router.getFee(dstSelector, message);
        return router.ccipSend{ value: fee }(dstSelector, message);
    }
}

dstSelector는 CCIP의 자체 chain selector(64-bit), feeToken은 LINK 또는 native ETH.

비교표 — 6개 메시지 패싱 프로토콜

프로토콜모델검증자 수해킹 이력TVL(2026-05)특징
Cosmos IBCLight clientN/A(체인별)0건약 100억$ 누적 흐름가장 보수적
Polkadot XCMShared security약 300 validators0건상대적으로 낮음에코시스템 내부 한정
LayerZero v2DVN multisigdApp-configurable0건(직접)메시지 수 1위유연한 보안 구성
WormholeGuardian 13/19192022년 326M$약 30억$NTT로 wrapping 제거
AxelarPoS validators~750건(직접)약 8억$GMP + ITS
HyperlanePluggable ISMdApp-configurable0건약 3억$permissionless
Chainlink CCIPDON + ARM 3중2개 DON + ARM0건약 5억$엔터프라이즈 친화

수치는 DefiLlama / L2Beat / 각 프로토콜 dashboard 2026년 5월 스냅샷 기준 근사치.

유동성 풀 브리지 — Stargate, Hop, Synapse, Connext

빠른 자산 이동에 특화된 풀 브리지 군:

  • Stargate (LayerZero 기반): 단일 unified pool로 instant guaranteed finality. STG 거버넌스.
  • Hop Protocol: L2-to-L2 특화. AMM 기반 hToken 시스템.
  • Synapse: nUSD/nETH 합성 자산 + Optimistic 검증.
  • Connext: NXTP 프로토콜 + Amarok 업그레이드. 라우터 네트워크.
  • deBridge: DLN(intent), GMP 모두 지원.

이들은 LayerZero/CCIP 같은 메시지 패싱 위에 유동성 레이어를 얹은 구조라 보안은 underlying messaging에 종속된다.

인텐트 프로토콜 — Across, Squid, UniswapX cross-chain

2024~2026년 흐름은 명확하다. 사용자가 "어떻게"가 아니라 "무엇을 원하는지(intent)"만 서명하고, 솔버가 빠르게 채운 뒤 사후 정산받는다.

  • Across v3: UMA Optimistic Oracle 정산. 사용자 입금 → relayer가 즉시 출금지 채움 → optimistic 분쟁 기간 후 relayer가 환급. 평균 7초 이내.
  • Squid Router: Axelar GMP + DEX 통합. swap-and-bridge 단일 트랜잭션.
  • UniswapX cross-chain: Dutch auction 기반. solver가 가격을 경쟁한다.
  • CoW CCT(Cross-Chain Trade): CoW Swap의 cross-chain 확장.
  • 1inch Fusion+: limit order + Dutch auction + cross-chain.

인텐트는 UX 측면에서 강력하다. 단점은 솔버 시장의 중앙화(소수 MEV 팀이 점유)와 정산 단계 보안이 underlying messaging에 의존한다는 점.

보안 사고 연대기 — 28억 달러는 어디로 갔는가

브리지 해킹의 주요 사례를 정리한다.

  • Poly Network (2021-08): 6.11억 달러. EthCrossChainManager keeper change 버그. 해커가 자발적 반환.
  • Wormhole (2022-02): 3.26억 달러. Solana program signature verification 우회. Jump Crypto가 보충.
  • Ronin (2022-03): 6.25억 달러. 9개 검증자 중 5개 키 탈취. Axie Infinity discord 사회공학.
  • Nomad (2022-08): 1.9억 달러. Replica 컨트랙트 init bug, 임의 메시지 통과. 카피캣 다발.
  • Harmony Horizon (2022-06): 1억 달러. 5개 멀티시그 중 2개 키 탈취.
  • Multichain (2023-07): 약 1.3억 달러. CEO 체포 + MPC 키 통제권 상실. 사실상 소멸.
  • Orbit Chain (2024-01): 8200만 달러. 한국 프로젝트, 멀티시그 키 탈취 추정.
  • Ronin (2024-08): 1200만 달러 White-hat 회수 사례.

공통점: 멀티시그/MPC 키 탈취 + 컨트랙트 검증 우회. light-client 기반(IBC, XCM)에서는 해킹 0건이라는 점이 의미심장하다.

EigenLayer AVS + Symbiotic — Restaking이 브리지 보안에 들어오다

2024~2026년 EigenLayer가 브리지 보안에 큰 변수를 만들었다. Restaking은 ETH 스테이커가 검증 의무를 추가 서비스(AVS, Actively Validated Service)에 위임하는 모델이다.

  • EigenDA, EigenLayer AVS: Hyperlane, Omni Network, Polyhedra, Lagrange가 AVS로 등록. 브리지 검증자에 restaked ETH 슬래시 위협을 추가.
  • Symbiotic: EigenLayer 대안. permissionless restaking + 다중 토큰 collateral(stETH, cbETH, sUSDe 등).
  • Karak: 비-ETH 자산도 restaking.

브리지가 자체 토큰 가치에 의존하지 않고 ETH 보안을 빌려올 수 있게 된 것이 핵심. 단점은 AVS 슬래시 메커니즘 자체가 2026년에도 완전 검증되지 않았다.

CAIP-2, SLIP-44, ENS — 체인 식별자 표준

크로스체인이 늘면서 식별자 표준이 필요해졌다.

  • CAIP-2(Chain Agnostic Improvement Proposal): namespace + reference 포맷. 예: eip155:1(이더리움 메인넷), cosmos:cosmoshub-4, solana:5eykt4UsFv8P8NJdTREpY1vzqKqZKvdpKuc7UM7Q.
  • SLIP-44: BIP-44 derivation path의 coin type. BTC=0, ETH=60, XTZ=1729 등.
  • CAIP-10: account ID. eip155:1:0x....
  • CAIP-19: asset ID. eip155:1/erc20:0xa0b8....
  • ENS resolvers: cross-chain address resolution. CCIP-Read(EIP-3668)로 L2 주소를 L1에서 읽는다.

LayerZero eid, Wormhole chainId, Axelar chain name, Chainlink chainSelector — 프로토콜마다 자체 ID가 있어 매핑 테이블이 필수다.

가스 추상화 + Account Abstraction과의 만남

크로스체인 UX는 ERC-4337(Account Abstraction)과 결합하며 진화한다.

  • Paymaster: 사용자가 native gas를 안 들고도 트랜잭션 실행. 크로스체인에서 출발지 가스가 없어도 OK.
  • Bundler + UserOp: 메시지 송신을 UserOperation으로 묶어 다른 체인의 솔버가 처리.
  • EIP-7702: EOA에 임시 코드 위임. 2025년 Pectra 업그레이드로 메인넷.
  • Privy, ZeroDev, Pimlico, Alchemy AA: SaaS 형태로 paymaster + bundler 제공.

크로스체인 + AA + intent 3박자가 2026년의 사용자 경험을 만든다. 거의 모든 단계가 한 번의 서명으로 끝난다.

ZK 브리지 — 새로운 보안 프론티어

영지식 증명을 검증 레이어에 끼우는 모델이 성숙 중이다.

  • Polyhedra zkBridge: zkLightClient로 BLS signature aggregation 증명.
  • Succinct SP1: zkVM. 임의 Rust 프로그램을 ZK로 증명.
  • RISC Zero: RISC-V zkVM.
  • =nil; Foundation: zkLLVM. multi-chain proof aggregator.
  • Espresso, Astria: shared sequencer + DA. 브리지보다는 rollup 인프라지만 cross-rollup 메시지 처리에 활용.

ZK 검증은 "1-of-N 정직 가정"보다 강한 "암호학적 sound" 보안을 제공하지만 증명 비용이 비싸 자산 가치 대비 ROI가 필요하다.

한국 규제 — 가상자산이용자보호법과 브리지

한국 FSC의 가상자산이용자보호법은 2024년 7월 1단계 시행됐다. 2단계(2026~) 논의가 진행 중. 핵심 영향:

  • 거래소 상장 코인(BFC, KLAY, WEMIX 등)은 법 적용 대상. 거래소가 KYC + 자금세탁 모니터링 필수.
  • 브리지로 들어온 자산의 출처 추적이 사실상 의무화. Travel Rule 1백만원 임계치(현재).
  • DeFi 프로토콜 직접 사용(예: BiFi, Aave)은 P2P 거래로 해석되지만, 거래소를 거치는 순간 KYC 적용.
  • 외화/원화 환전 페어 자체는 가상자산이라기보다 외환거래법 적용 가능성.

BIFROST 같은 한국 발 프로젝트는 거래소 상장 BFC가 법 적용 대상이지만 체인 자체는 KYC 없는 EVM이다. 이 이중성이 2026년의 회색지대.

일본 규제 — JVCEA와 Travel Rule

일본의 가상자산 규제는 자금결제법(資金決済法) + 금융상품거래법 + Travel Rule이 핵심.

  • JVCEA(日本暗号資産取引業協会): 자율규제 단체. 신규 상장 코인 White/Green list 운영.
  • Travel Rule: 2023년 6월부터 30만 엔 이상 송금에 발신자/수신자 정보 첨부 의무.
  • Stablecoin: 2023년 개정 자금결제법으로 円 페그 stablecoin 발행은 은행/신탁회사/송금업자만.
  • DeFi/Bridge: 명시적 규제는 없지만 거래소가 취급하는 순간 적용.

일본의 큰 변수는 2026년 시행 예정인 암호자산 분리 보관 강화 + 국가별 자금세탁법(FATF) 권고 16(Travel Rule) 완전 이행이다. 크로스체인 거래소 통합은 더 어려워진다.

인덱싱 — TheGraph, Subsquid, Goldsky로 크로스체인 데이터 합치기

크로스체인 dApp은 데이터 인덱싱도 멀티체인이 필요하다.

  • TheGraph Network: 분산 인덱서. EVM 친화적, 2026년 5월 50개 체인 이상.
  • Subsquid: Rust + TypeScript SDK, 호스팅 무료 티어 강력.
  • Goldsky: 실시간 stream + mirror to webhook/Kafka.
  • Envio: HyperSync 기반 ultra-fast 인덱싱.
  • Dune Analytics: SQL 기반 dashboard.

브리지 트랜잭션은 출발지 + 목적지 + 검증자 commit + relayer execute의 4단계가 다른 체인에 분산되어 있어, 멀티체인 join이 필수다.

개발 환경 세팅 — Foundry, Hardhat, Anchor

크로스체인 dApp을 짠다면 도구는 익숙한 것에 멀티체인 플러그인을 더한다.

  • Foundry + Forge + Anvil: Solidity 표준. forge install 후 LayerZero, CCIP 컨트랙트 가져옴.
  • Hardhat: TypeScript 친화. hardhat-deploy + multichain config.
  • Anchor: Solana. Wormhole SDK 통합.
  • CosmWasm: Cosmos. Rust 스마트 컨트랙트.
  • ink!: Polkadot 파라체인. Rust 기반.

테스트는 fork test 필수. forge test --fork-url $ETH_RPC + 목적지 체인 fork. LayerZero는 lz-evm-protocol-v2 mock endpoint 제공.

# Foundry 멀티체인 fork test 세팅
forge install LayerZero-Labs/devtools
forge install smartcontractkit/ccip
forge install OpenZeppelin/openzeppelin-contracts

# 환경 변수
export ETH_RPC=https://eth.llamarpc.com
export ARB_RPC=https://arb1.arbitrum.io/rpc
export BIFROST_RPC=https://public-01.mainnet.bifrostnetwork.com/rpc

# 테스트 실행
forge test --fork-url $ETH_RPC --match-contract CrossChainTest -vv
forge test --fork-url $BIFROST_RPC --match-contract BiFiTest -vv

MEV와 크로스체인 — Atomic vs eventual

크로스체인은 본질적으로 non-atomic이다. 출발지 commit + 목적지 execute가 분리되어 사이에 MEV가 끼어든다.

  • Cross-chain sandwiching: 솔버가 가격 차이를 미리 본 뒤 자기 자산을 먼저 채움.
  • Toxic flow: 솔버가 손해 보는 주문만 채우게 만드는 정보 비대칭.
  • Flashbots, MEV-Share: 메인 솔루션. 주문 흐름 프라이버시.
  • Cross-chain atomicity (실험): HTLC, atomic swap, BTC Lightning 스타일.
  • Solver auction (UniswapX, CoW): Dutch auction으로 가격 발견.

2026년 솔버 시장은 약 5~7개 회사가 점유한다(Anton, Wintermute, Flashbots, Pyth, GSR 등). 탈중앙화 진행 중.

인덱스 토큰과 LST 크로스체인

스테이킹 토큰의 멀티체인 전개도 큰 주제다.

  • Lido stETH/wstETH: LayerZero 기반 멀티체인 wstETH.
  • Rocket Pool rETH: CCIP 멀티체인.
  • EtherFi eETH/weETH: LayerZero + CCIP 양쪽 사용.
  • Renzo ezETH: LayerZero.
  • Mellow LRT, KelpDAO rsETH: 다중 프로토콜.

LST/LRT가 여러 체인에 흩어지면 동기화 + 슬래시 보호가 까다롭다. NTT 같은 burn-and-mint 표준이 wrapping 누적을 줄여 준다.

실전 체크리스트 — 새 cross-chain dApp을 출시한다면

마지막으로 dApp을 출시할 때의 보안/UX 체크리스트.

  1. 메시지 패싱 선택: 신뢰 가정과 비용 매트릭스로 LayerZero/CCIP/IBC/Hyperlane/Axelar/Wormhole 중 결정. dApp 자산이 1000만 달러 넘으면 multi-routing.
  2. DVN/ISM 구성: 최소 3-of-5, 다른 운영 주체. 한 검증자 = 한 회사가 같은 키 인프라 쓰지 않도록.
  3. Rate limit: 라인당 + 토큰당 capacity. Chainlink CCIP는 기본 제공, 다른 곳은 직접 구현.
  4. Pause + circuit breaker: 비정상 패턴 자동 일시중단.
  5. Replay protection: nonce + message hash. 모든 프로토콜이 표준 제공하지만 직접 검증.
  6. Gas / native drop: 목적지 가스 부족시 fallback.
  7. Front-end UX: 출발/도착 ETA, 진행 상태(commit→relay→execute), 환불 가능성.
  8. 모니터링: Tenderly, OpenZeppelin Defender, Forta로 비정상 트래픽 알람.
  9. 법무: KYC, sanctions screening(Chainalysis, Elliptic), Travel Rule 호환.
  10. 외부 감사: Trail of Bits, Sigma Prime, OpenZeppelin, Spearbit. 코드 변경 시마다.

References

Discuss on TwitterView on GitHub