글쓴이: 재, PA뉴스

4월 암호화폐 업계는 격동의 시기를 겪었습니다. 솔라나 생태계의 주요 탈중앙화 거래소(DEX)인 드리프트(Drift)가 연쇄 해킹 사건으로 2억 8,500만 달러를 도난당한 직후, 시장은 마치 번지점프를 하듯 급격하게 변동하는 레이브(RAVE) 가격을 중심으로 급락했습니다.

RAVE 열풍이 사그라들 무렵, 이더리움의 대표적인 유동성 재스테이킹(LRT) 프로토콜인 KelpDAO가 해킹당하면서 DeFi 시장은 큰 타격을 입었습니다.

4월 18일, KelpDAO는 LayerZero 기반 크로스체인 브리지의 취약점을 악용한 해커들의 공격을 받아 약 116,500 rsETH가 불법적으로 인출되는 사태를 겪었으며, 이는 최대 2억 9,200만 달러의 손실로 이어졌습니다. 이 사건은 Drift 사태보다 훨씬 더 심각한 규모로, 2026년 들어 발생한 최대 규모의 온체인 보안 사고로 기록되었습니다.

해커들은 메인넷 스테이킹 계약을 파괴하거나 개인 키를 유출하지 않았습니다. 단지 크로스체인 검증 과정의 아주 작은 균열이 DeFi의 복합적인 위험을 촉발했을 뿐입니다.

리스태킹의 이점과 멀티체인 확장이라는 야망이 결합되면서, 3년간 "수익률 우선"이라는 길을 질주해 온 DeFi는 이제 다시 한번 "수익률 우선"과 "보안 우선"이라는 심도 있는 질문에 직면하게 되었습니다.

단일 로그인 취약점이 LRT 위기를 촉발했으며, KelpDAO는 약 3억 달러의 손실을 입었습니다.

절도 사건의 주인공인 켈프다오는 한때 경전철 노선에서 활약하던 스타 기관사였다.

이 비즈니스 로직은 시장의 문제점을 정확하게 해결하여 "3-in-1" 모델을 구현합니다. 사용자는 stETH 및 rETH와 같은 LST(유동성 스테이킹) 자산을 rsETH로 캡슐화할 수 있으며, 이를 통해 ETH 스테이킹의 기본 수익뿐만 아니라 EigenLayer의 리스태킹 보상까지 얻을 수 있습니다. 또한, rsETH를 다양한 DeFi 대출 및 마이닝 시나리오에서 활용할 수 있습니다.

KelpDAO는 시장 점유율 확보를 위해 공격적으로 16개의 퍼블릭 블록체인으로 확장해 왔습니다. 높은 수익률과 유동성을 자랑하는 rsETH는 주요 레이어 2 및 Aave 블록체인의 주류 담보 자산으로 자리매김하며 이더리움 DeFi 생태계에 깊숙이 뿌리내렸습니다.

이 멀티체인 아키텍처는 LayerZero가 제공하는 기본 크로스체인 통신 프로토콜에 크게 의존하는데, 바로 이 프로토콜이 이번 사태의 진원지가 되었습니다.

4월 20일, 레이어제로(LayerZero)는 이번 사건에 대한 요약 보고서를 발표하며 켈프다오(KelpDAO)가 공격을 받아 약 2억 9천만 달러의 손실이 발생했다고 밝혔습니다. 초기 조사 결과에 따르면 이번 공격은 고도의 기술력을 보유한 국가 차원의 해킹 조직, 특히 북한의 라자루스 그룹(Lazarus Group) 산하의 트레이더트래터(TraderTraitor) 소행일 가능성이 높습니다. 켈프다오는 단일 서명 방식을 사용하기 때문에 이번 공격은 rsETH 구성에만 국한되었으며, 다른 크로스체인 자산이나 애플리케이션에는 영향을 미치지 않았습니다.

한편, LayerZero는 KelpDAO가 1/1 DVN 구성만 사용하고 있어 "단일 장애 지점"이 된다는 점을 인정하고, 1/1 DVN 구성을 사용하는 모든 애플리케이션에 다중 서명 구성으로 마이그레이션하도록 안내하고 있다고 밝혔습니다. 그러나 LayerZero 역시 KelpDAO에 변경을 촉구하거나 다중 서명 구성을 의무화하지 않은 점에 대해 어느 정도 책임이 있습니다.

해커들이 레이어제로의 하위 인프라를 공격하여 두 개의 노드를 손상시키고, DVN이 실제로 발생하지 않은 거래를 확인하도록 만들었습니다.

레이어제로에 따르면, 해커들은 레이어제로 랩스 DVN에서 사용하는 RPC 목록을 입수하여 두 개의 노드를 해킹하고 op-geth 바이너리를 교체했습니다. 동시에, 감염되지 않은 RPC에 DDoS 공격을 가해 페일오버를 유발했고, 이로 인해 DVN은 실제로 발생하지 않은 거래를 승인하는 것처럼 보이게 했습니다.

요컨대, 해커는 rsETH 추출 권한을 "아무것도 없는 상태에서" 활성화했습니다.

더욱 소름 끼치는 것은 만약 지난 3분 동안 긴급 블랙리스트 메커니즘이 작동하지 않았더라면 해커들이 추가로 1억 달러를 더 훔쳐갔을 것이고, 총 손실액은 4억 달러를 넘어섰을 것이라는 점입니다.

이 충격적인 소식은 오래전부터 예견되어 왔다.

해커들의 공격 경로는 업계에서 흔히 발생하는 문제, 즉 프로토콜 검증 메커니즘의 취약성을 직접적으로 겨냥합니다.

KelpDAO는 크로스체인 효율성을 열렬히 추구하는 과정에서 오랫동안 존재해 온 단일 검증 지점 문제를 간과했고, 결국 해커의 취약점이 되었습니다.

KelpDAO가 보안 문제를 드러낸 것은 이번이 처음이 아닙니다. 지난 5월, 계약 업그레이드 중 단위 확장 오류로 인해 프로토콜에서 31.2경(50경) 개의 rsETH가 발행되었습니다. 다행히 해당 코인은 제때 소각되어 손실은 발생하지 않았지만, 이미 보안 취약점이 드러난 사건이었습니다.

리스테이트 시장의 치열한 경쟁으로 보안이 뒷전으로 밀리고 있습니다. KelpDAO는 규모 확장을 위해 끊임없이 새로운 LST 자산을 추가하고 새로운 L2 네트워크를 구축하고 있습니다. 하지만 체인과 자산이 추가될 때마다 공격 표면은 기하급수적으로 증가합니다.

노련한 DeFi 플레이어가 지적했듯이, L2의 TVL 고객 확보 비용은 더욱 증가할 것으로 예상되며, 상당량의 TVL이 L1으로 되돌아갈 것입니다.

멀티체인 확장의 "양날의 검"은 결국 프로토콜 자체와 전체 DeFi 생태계를 꿰뚫는 날카로운 칼날이 됩니다.

Aave는 rsETH에 의해 오염되었고, 2억 달러의 부실 채권으로 인해 66억 달러의 자본 유출이 발생했습니다.

디파이는 레고 블록과 같습니다. 하나라도 부서지면 전체가 무너집니다.

불법적으로 획득한 rsETH를 탈중앙화 거래소(DEX)에 직접 매도하지 않은 해커들은 " 자산 포이즈닝" 전략을 사용했습니다. 즉, rsETH를 "고품질 담보"로 Aave에 예치하여 실제 유동성이 높은 자산을 확보한 것입니다.

Aave V3/V4는 이더리움과 아비트럼에서 rsETH를 적격 담보로 인정합니다. 해커들은 rsETH를 예치하고 대량의 WETH, USDC, USDT를 빌려 불법 자산을 프로토콜의 부실 채권으로 만들고 있습니다.

카오스 랩스의 추산에 따르면, Aave는 시장 예상치를 훨씬 뛰어넘는 약 2억 달러에 달하는 부실채권에 직면해 있습니다.

채무 관련 악재 소식이 전해진 후, AAVE 토큰 가격은 약 18% 급락했습니다.

작년 말 이후로 Aave는 심각한 불운을 겪고 있는 것으로 보입니다. 일련의 지배구조 위기와 서비스 제공업체들의 대거 이탈 이후, rsETH 관련 시장과의 연동으로 인해 해커들이 유동성을 빼돌리기 위한 최적의 통로가 되었습니다.

온체인 데이터 노출은 Aave에 대한 비난 여론을 더욱 부추겼습니다.

저스틴 선이 Aave에서 53,665 ETH(약 1억 2,600만 달러 상당)를 긴급 인출한 것으로 확인됐다. 그의 인출은 고래 투자자들이 해당 프로토콜의 보안에 대한 신뢰를 잃어가고 있다는 신호로 해석된다.

이후 시장 전반에 걸쳐 대규모 자본 유출이 발생했습니다. DeFiLlama 데이터에 따르면 Aave는 단 하루 만에 66억 달러의 순유출을 기록했으며, 이는 펀드 규모가 23%나 급감한 수치입니다.

근본적인 문제는 Aave의 잘못이 아니었지만, 이번 사건은 Aave의 위험 관리 메커니즘을 시험하는 중요한 계기가 되었습니다.

일부 사용자들은 커뮤니티 구성원들이 이미 15개월 전에 Aave 거버넌스 포럼에서 KelpDAO의 단일 검증 지점 위험성에 대해 공개적으로 경고했었다는 점을 지적했습니다. 하지만 Aave 팀은 이에 대한 해결책을 제시하지 않았습니다.

반면 Spark는 올해 1월에 rsETH를 상장 폐지했습니다. DeFi 연구원 CM은 "Sky 시스템 전체는 선제적이고 엄격한 위험 관리 철학을 채택하고 있는데, 이로 인해 프로토콜 개발 속도가 느려질 수 있지만 중요한 순간에 그 가치를 입증했다"고 직설적으로 말했습니다.

저스틴 선의 53,600 ETH 또한 스파크에 예치되었습니다. 이틀 만에 스파크 토큰 가격은 50% 이상 급등했는데, 이는 AAVE와는 극명한 대조를 이룹니다.

Nothing Research의 공동 창립자인 토드는 Aave가 약 2억 달러에 달하는 부실 채권에 대응하여 "우산 보험" 모듈을 가동할 가능성이 있다고 예상합니다.

우산형 보상 모듈은 1차 방어선 역할을 하지만, 그 규모가 약 2억 달러에 달하는 자산 손실을 완전히 보상하기에는 분명히 부족합니다.

단기적으로 Aave의 자구책은 위기를 일시적으로 지연시킬 뿐, 근본적인 해결책은 아닙니다. 주요 부족분은 여전히 ​​Aave 프로토콜 수익 또는 토큰 발행을 통해 메워야 합니다. 구체적인 해결책은 커뮤니티 내 추가 논의를 통해 결정될 것입니다.

격리 시설, 의무 보험, 위험 재평가는 안전과 관련하여 더 이상 "공짜 점심"은 없다는 것을 의미합니다.

KelpDAO 사태는 LRT 열풍의 공식적인 종말을 알리는 사건이며, DeFi 시장은 돌이킬 수 없는 세 가지 위험 관리 변화를 맞이하게 될 것입니다.

대출 시장의 분리: Aave의 비분리형 대출 모델은 자산이 완전히 독립적인 "사일로화된 풀"에 보관됨에 따라 과거의 유물이 되고 있습니다. 단일 자산에 문제가 발생하더라도 다른 유동성 풀에 있는 자산에는 영향을 미치지 않습니다.

Curve의 창립자 마이클 에고로프는 한 기고문에서 비분리형 대출 모델은 확장성이 뛰어나지만 위험도 더 높다고 지적하며, 시장이 완전 분리형 또는 하이브리드 모델을 채택해야 한다고 제안했습니다.

완전히 격리된 아키텍처는 자본 효율성을 떨어뜨릴 수 있지만, 시스템의 위험 대응력을 크게 향상시킬 수 있습니다.

필수 보험 모듈: 우산형 보험 모듈은 계약 보험을 "선택적 구성"에서 "필수 구성 요소"로 전환하는 데 중요한 역할을 할 것입니다.

향후 Aave와 같은 주요 대출 플랫폼에 상장하려는 모든 신규 자산은 해당 시장에서 채무 불이행이나 도난 발생 시 주요 보상 수단으로 일정 비율의 담보를 해당 금고에 예치해야 할 수도 있습니다.

탈중앙화 금융(DeFi) 자산 위험 재평가: 원키(OneKey) 창립자 이시(Yishi)는 현재 DeFi의 수익률과 위험이 완전히 불균형하며, 보안에는 고정된 비용이 따른다고 직설적으로 밝혔습니다.

시장은 위험을 재평가할 것입니다. 계약 요율과 인프라 비용에 상승 압력이 가해질 것이며, 그렇지 않으면 보안 투자를 지속할 수 없을 것입니다.

따라서 DeFi 자산은 기초 자산에 따라 재평가되어야 합니다. LRT와 같은 캡슐화된 자산의 위험성은 네이티브 자산보다 훨씬 높으므로, 대출 플랫폼은 캡슐화된 자산의 위험 할인율을 위험 관리 모델에 반영해야 합니다.

KelpDAO 해킹 사건은 DeFi 업계에서 최대 수익과 멀티체인 확장을 추구하는 과정에서 보안을 소홀히 하는 집단적인 행태를 여실히 보여주는 잔혹한 거울과 같습니다.

약 3억 달러에 달하는 손실은 막대한 비용이지만, 만약 이 손실을 계기로 DeFi 업계가 구성만을 맹목적으로 추구하는 것에서 벗어나 안정성을 추구하는 방향으로 전환할 수 있다면, 이는 업계가 성숙하기 위해 지불해야 할 대가일지도 모릅니다.

KelpDAO 사태 이후, 시장은 점차 DeFi의 진정한 가치는 보다 투명하고 안전하며 탄력적인 금융 인프라를 제공하는 데 있다는 것을 깨달았습니다.

쓰나미가 물러가면, 훨씬 더 견고한 토대만 남게 될 것입니다.