Kelp DAO $293M 대형 해킹: 크로스체인 DeFi 보안의 치명적 결함 노출

46분 만에 증발한 2억 9,300만 달러, 2026년 최대 DeFi 참사

2026년 4월 18일 오후 5시 35분(UTC), 유동성 리스테이킹 프로토콜 Kelp DAO가 2억 9,300만 달러 규모의 해킹을 당하면서 전체 DeFi 생태계가 순식간에 마비됐습니다. CoinDesk에 따르면 공격자는 단 46분 만에 Kelp DAO의 LayerZero 기반 크로스체인 브리지에서 116,500 rsETH를 탈취했으며, 이는 rsETH 전체 유통량(약 63만 개)의 18%에 해당하는 막대한 규모입니다. 이번 사건은 올해 초 Drift 해킹(약 2억 8,900만 달러)을 추월해 2026년 들어 최대 규모의 DeFi 익스플로잇으로 기록되었습니다.

공격은 단일 프로토콜에서 끝나지 않았습니다. Bloomberg는 이번 사건을 "크로스프로토콜 컨테이전(contagion) 이벤트"로 규정했으며, Aave, Compound, Fluid, SparkLend, Euler 등 최소 9개 주요 DeFi 플랫폼이 rsETH 시장을 긴급 동결하거나 비상 대응에 나섰습니다. 공격자가 Tornado Cash에서 10시간 전 자금을 공급받은 지갑으로 탈취 자산을 옮긴 점, 그리고 LayerZero가 공격 배후로 북한 라자루스(Lazarus) 그룹을 지목한 점은 이번 사건이 단순한 스마트컨트랙트 버그가 아닌 국가 단위 사이버 공격임을 시사합니다.

사건의 배경: 리스테이킹 열풍과 크로스체인 확장의 어두운 이면

Kelp DAO는 EigenLayer 생태계에서 성장한 대표적인 유동성 리스테이킹 프로토콜(LRT)입니다. 사용자는 ETH를 예치해 rsETH를 수취하고, 이를 다시 다른 DeFi 프로토콜의 담보로 활용해 추가 수익을 얻는 구조입니다. 2025년 이후 리스테이킹 내러티브가 급성장하면서 rsETH는 20개 이상의 체인에 배포되었고, 그 과정에서 LayerZero의 옴니체인 메시징 프로토콜이 자산 이동의 핵심 인프라로 활용되었습니다.

문제는 바로 여기서 발생했습니다. LayerZero V2는 메시지 검증을 위해 DVN(Decentralized Verifier Network) 구조를 채택하고 있으며, 개발팀에게 다수의 독립적인 검증자(multi-verifier)를 사용하도록 권장해 왔습니다. 그러나 Kelp DAO는 rsETH OFT 어댑터를 **1/1 DVN 구성(단일 검증자)**으로 설정했습니다. 즉, 단 하나의 검증자만 승인하면 크로스체인 메시지가 유효한 것으로 처리되는 구조였던 것입니다. LayerZero는 사건 직후 성명을 통해 "Kelp 팀에 여러 차례 다중 검증자 구성으로 전환할 것을 권고했으나 반영되지 않았다"고 밝혔습니다.

2022년 Ronin Bridge(6억 2,500만 달러), 2022년 Wormhole(3억 2,600만 달러) 해킹 이후에도 크로스체인 브리지가 DeFi의 구조적 취약점이라는 경고는 끊이지 않았습니다. 1inch 블로그의 2024년 분석에 따르면 브리지 아키텍처는 반복적인 설계 결함과 취약점을 안고 있으며, 전체 DeFi TVL에서 차지하는 비중은 크지 않음에도 해킹 피해액의 대부분을 발생시키는 구조적 약점입니다.

기술적 해부: DVN 구성 오류와 RPC 노드 장악

이번 공격의 기술적 핵심은 LayerZero의 실패 복구(failover) 로직을 악용한 검증자 스푸핑입니다. WEEX 및 CoinDesk의 분석을 종합하면 공격자는 다음 절차를 거쳤습니다. 먼저 Kelp가 의존하던 두 개의 RPC 노드를 사전에 탈취했고, 이어 정상 검증자에 대해 DDoS 공격을 감행해 시스템이 강제로 실패 복구 모드로 전환되도록 유도했습니다. 이 틈을 타 공격자가 장악한 RPC가 제공하는 위조된 상태 데이터를 LayerZero 검증자가 그대로 신뢰하게 되었고, 결국 존재하지 않는 예치를 유효한 것으로 승인하는 크로스체인 메시지가 생성됐습니다.

Kelp의 브리지 컨트랙트는 이 위조 메시지를 적법한 명령으로 받아들여 공격자 지갑에 116,500 rsETH를 즉시 배포했습니다. 주목할 점은 스마트컨트랙트 코드 자체에는 버그가 없었다는 사실입니다. Blockchain Magazine은 이를 두고 "코드가 아닌 구성(configuration)의 실패"라고 분석했습니다. 다중 DVN을 사용했다면 하나의 검증자가 오염되어도 나머지 검증자가 이를 차단했겠지만, 1/1 구조에서는 **단일 실패 지점(single point of failure)**이 곧바로 전체 시스템의 붕괴를 의미했습니다.

공격자는 탈취 직후 rsETH를 Aave V3에 담보로 예치하고 WETH를 대출받는 방식으로 즉시 유동성을 확보했습니다. on-chain 트래커 기준 Aave에 남겨진 악성 부채(bad debt)는 약 1억 9,600만 달러에 달합니다. 나머지 rsETH는 20개가 넘는 체인에 랩드 이더 형태로 분산돼 있어 추적과 회수는 극도로 어려운 상황입니다.

시장 충격: Aave TVL $26.4B → $20B, AAVE·ZRO 급락

시장 반응은 즉각적이고 거칠었습니다. CoinDesk에 따르면 Aave의 TVL은 4월 18일 264억 달러에서 200억 달러 수준까지 급락, 약 66억 달러(약 25%)가 단 이틀 만에 증발했습니다. Yahoo Finance는 Aave에서만 일요일 새벽까지 62억 달러 규모의 예치금이 인출되었다고 보도했습니다. 핵심 대출 풀의 가동률(utilization rate)이 100%까지 치솟으며 정상적인 출금이 불가능한 "뱅크런" 상황이 발생했습니다.

토큰 가격 낙폭도 심각했습니다. AAVE는 24시간 동안 17.56% 하락했고, LayerZero의 네이티브 토큰 ZRO는 22% 이상 급락했습니다. 정작 피해 자산인 rsETH는 비메인넷 체인에서 사전 가치의 5% 미만으로 거래되면서 사실상 디페그 상태에 빠졌습니다. ETH 자체도 영향을 피하지 못해, 4월 19일 바이낸스 기준 $2,332에서 20일 $2,269까지 하락하며 3% 이상 약세를 보였습니다. 비트코인은 $75,000선을 간신히 방어하는 상황이었습니다.

더 심각한 문제는 시스템 리스크입니다. Aave의 Umbrella 준비금으로는 이번 악성 부채를 전액 보전하기 어렵다는 분석이 제기되면서, stkAAVE 보유자가 최종 손실을 부담해야 할 가능성까지 거론되고 있습니다. 이는 DeFi 생태계 전반에서 리스테이킹 토큰을 담보로 인정하는 관행 자체에 대한 근본적 재검토를 촉발하고 있습니다.

전망과 시사점: '모듈형 신뢰 가정'의 재평가

이번 사건은 DeFi가 직면한 세 가지 구조적 질문을 수면 위로 끌어올렸습니다. 첫째, LayerZero·Wormhole·Axelar 같은 옴니체인 프로토콜이 제공하는 유연성은 실질적으로 개발자에게 검증 정책 선택 책임을 전가합니다. Kelp가 1/1 DVN을 택한 이유는 비용·지연 시간 절감이었을 가능성이 크지만, 그 결정이 전체 프로토콜과 연계된 대출 플랫폼에까지 무제한 전염 리스크를 초래한다는 점이 입증되었습니다.

둘째, LRT의 담보 남용 위험이 현실화됐습니다. Aave처럼 수백억 달러 TVL을 운영하는 메이저 대출 프로토콜이 단일 LRT 이슈로 수십억 달러를 잃을 수 있다면, 리스크 파라미터 설정과 LTV(담보비율), 공급 캡(supply cap)에 대한 전면적 재조정이 불가피합니다. The Defiant는 "Aave의 리스크 프레임워크가 LRT 시대에 맞게 진화하지 못했다"고 지적했습니다.

셋째, 국가 배후 공격자의 위협이 상시화되었습니다. Lazarus 그룹은 2022년 Ronin Bridge부터 2023년 Atomic Wallet, 2024년 DMM Bitcoin 등 반복적으로 대형 해킹을 주도해 왔습니다. 단순한 코드 감사로는 RPC 인프라·DNS·검증자 운영 환경을 겨냥한 복합 공격을 방어할 수 없다는 점이 명확해졌습니다.

향후 주목할 시나리오는 세 가지입니다. ① Aave 커뮤니티가 stkAAVE 소각 또는 긴급 AAVE 발행을 통해 악성 부채를 흡수하는지 여부, ② 주요 LRT 프로토콜(EtherFi, Renzo, Puffer 등)의 DVN·브리지 구성이 추가 감사 대상이 될지, ③ 규제 당국이 이번 사건을 계기로 크로스체인 브리지에 대한 새로운 감독 프레임워크를 제시할지입니다.

결론: 투자자가 당장 확인해야 할 것들

투자자에게 이번 Kelp DAO 사건의 교훈은 분명합니다. 수익률이 높은 LRT 전략은 예외 없이 브리지 리스크와 담보 전이 리스크를 내포하고 있으며, 특정 체인·프로토콜이 "검증이 탄탄하다"고 주장하더라도 실제 DVN 구성과 페일오버 로직까지 확인해야 진정한 안전성을 평가할 수 있습니다. 단기적으로 rsETH는 물론 AAVE, ZRO 등 직접 타격을 입은 토큰의 변동성은 높게 유지될 가능성이 큽니다. 보수적 투자자라면 악성 부채 처리 결과와 Aave 거버넌스 투표가 마무리될 때까지 해당 섹터에 대한 신규 노출을 자제하는 것이 합리적 선택이 될 것입니다. 2026년 들어 20일 만에 누적 6억 500만 달러가 해킹으로 증발한 지금, DeFi는 신뢰 가정(trust assumption)에 대한 전면 재검토라는 숙제를 피할 수 없게 됐습니다.