Kelp DAO 해킹發 DeFi 유동성 위기: $13.2B TVL 증발이 드러낸 시스템 리스크

46분 만에 $293M 증발, DeFi 생태계 뒤흔든 Kelp DAO 해킹

2026년 4월 18일 토요일 오후 5시 35분(UTC), 불과 46분 만에 2억 9,300만 달러 규모의 디지털 자산이 사라졌습니다. 리퀴드 리스테이킹 프로토콜 Kelp DAO의 LayerZero 기반 크로스체인 브리지가 해킹당하면서 116,500 rsETH(유동화 리스테이킹 이더)가 공격자 지갑으로 유출되었습니다. 이는 rsETH 총 유통량의 약 18%에 해당하며, 2026년 들어 발생한 최대 규모의 DeFi 익스플로잇으로 기록되었습니다. CoinDesk와 Bloomberg의 보도에 따르면, 이번 사건은 단순한 프로토콜 해킹을 넘어 DeFi 생태계 전반의 구조적 취약성을 드러내는 시스템 리스크 사건으로 비화되었습니다.

해킹 직후 48시간 동안 DeFi 전체 TVL(Total Value Locked)은 994억 9,700만 달러에서 862억 8,600만 달러로 급감하며 132억 1천만 달러가 증발했습니다. 특히 최대 대출 프로토콜 Aave는 18일 264억 달러에서 일요일 미국 오전 시간 약 200억 달러까지 TVL이 급락해 단일 프로토콜에서만 64억~84억 5천만 달러가 빠져나갔습니다. Aave 토큰은 16~20% 폭락했고, 전체 대출 생태계는 사실상 유동성 동결 상태에 빠졌습니다.

단일 검증자 설정이 만든 치명적 취약점

기술적 관점에서 이번 공격은 놀라우리만큼 정교했습니다. LayerZero가 공식 블로그를 통해 밝힌 분석에 따르면, 공격자들은 Kelp DAO의 브리지가 사용하던 RPC 노드 2개를 사전에 장악한 뒤 DDoS 공격을 동원해 강제 페일오버(failover)를 유도했습니다. 이 과정에서 LayerZero의 메시지 검증자(verifier)가 위조된 크로스체인 메시지를 유효한 것으로 승인하게 만들어, Kelp 브리지로부터 116,500 rsETH를 공격자 주소로 풀어내는 데 성공했습니다.

핵심 문제는 Kelp DAO가 단일 검증자(single-verifier) 구성을 사용하고 있었다는 점입니다. LayerZero 측은 "공개된 통합 체크리스트와 Kelp에 대한 직접 커뮤니케이션을 통해 여러 독립 검증자의 합의를 요구하는 다중 검증자(multi-verifier) 구성을 수차례 권고했으나 받아들여지지 않았다"고 주장했습니다. 또한 LayerZero는 공격 주체로 북한 해커 집단 라자루스(Lazarus) 그룹의 하위 조직인 TraderTraitor를 지목했습니다. beincrypto와 CoinDesk에 따르면 이는 2026년 들어 북한 연계 해커가 개입한 두 번째 대형 DeFi 공격으로, 4월 1일 발생한 Drift Protocol의 2억 8,500만 달러 해킹 역시 라자루스 소행으로 추정되고 있습니다.

더욱 심각한 문제는 rsETH가 20개 이상의 네트워크에 걸쳐 래핑되어 유통되고 있었다는 사실입니다. 브리지에서 담보 자산이 증발하자 레이어2 체인 전반에서 rsETH의 백킹(backing)에 대한 의문이 제기되었고, 여러 체인에 걸친 rsETH 포지션이 동시에 위험 신호를 내기 시작했습니다.

Aave에서 터진 뇌관: $195M 악성부채와 100% 유틸리티 위기

이번 사건이 단일 프로토콜 해킹을 넘어 DeFi 전체의 유동성 위기로 번진 결정적 이유는 공격자의 후속 행동에 있었습니다. 공격자는 탈취한 rsETH를 즉시 Aave V3에 담보로 예치한 뒤, 이를 기반으로 WETH(Wrapped Ether)를 대규모로 차입했습니다. 이미 증발한 rsETH가 담보로 설정된 채 차입이 실행되면서 Aave에는 약 1억 9,500만~2억 달러 규모의 악성부채(bad debt)가 발생했습니다. Phemex와 The Defiant의 분석에 따르면, 이 부채는 Ethereum 메인넷의 rsETH-WETH 풀에 집중되어 있어 구조적 정리가 까다로운 상황입니다.

시장의 반응은 즉각적이고 공격적이었습니다. 해킹 발생 후 24시간 동안 Justin Sun, MEXC 거래소를 비롯한 고래(whale) 지갑들이 Aave에서 60억 달러 이상을 인출했고, ETH·USDT·USDC 등 주요 풀의 이용률(utilization)이 100%에 도달했습니다. 이는 사실상 일반 예금자들이 자금을 인출할 수 없는 상태에 빠졌다는 의미입니다. CoinDesk 보도에 따르면 자금이 묶인 사용자들은 자신의 스테이블코인 예치금을 담보로 약 3억 달러 규모의 신규 차입을 실행하며 극심한 손실을 감수해야 했습니다.

Aave 리스크팀은 즉각 Aave v3와 v4의 rsETH 시장을 동결했고, Ethereum 메인넷·Arbitrum·Base·Mantle·Linea의 WETH 리저브 또한 추가 차입을 막기 위해 동결 조치했습니다. Aave 거버넌스 포럼에 공개된 복구 워터폴(waterfall)은 4단계로 설계되어 있습니다. 첫째, aWETH Umbrella 스테이커가 자동 슬래싱으로 첫 번째 손실을 흡수합니다. 둘째, WETH 공급자들이 예치금에 비례한 손실(haircut)을 부담합니다. 셋째, 거버넌스 승인 시 stkAAVE 보유자에 대한 추가 슬래시가 집행됩니다. 마지막으로 DAO 트레저리가 상환 제안을 통해 잔여 부채를 해결할 수 있습니다.

9개 프로토콜로 번진 전염 효과

Blockchain.news와 Cointelegraph의 보도에 따르면 이번 익스플로잇의 충격파는 최소 9개 DeFi 프로토콜로 확산되었습니다. Aave, Compound Finance, Fluid, SparkLend, Euler 등이 모두 rsETH 관련 시장을 긴급 동결했으며, 이는 DeFi의 고질적 문제인 "비격리형(non-isolated) 대출 구조"의 위험성을 다시 한 번 부각시켰습니다. 여러 업계 임원들은 Cointelegraph 인터뷰에서 "rsETH처럼 다른 체인의 브리지에 백킹된 자산이 주요 대출 풀의 담보로 무분별하게 허용될 때, 단일 지점의 장애가 전체 생태계로 전파된다"고 경고했습니다.

2026년 연초부터 누적된 해킹 피해 통계는 더욱 암울합니다. TheStreet Crypto에 따르면 4월 중순까지 불과 20일 만에 디지털 자산 플랫폼에서 6억 500만 달러 이상이 사이버 공격으로 사라졌으며, DeFi 섹터 전체로 보면 44~45개 프로토콜에서 누적 4억 5천만~4억 8,200만 달러의 손실이 발생했습니다. Q1 2026 한 분기 동안에만 34개 DeFi 프로토콜에서 1억 6,860만 달러가 도난당했고, 그 중 76%는 코드 취약점보다 프라이빗키 탈취·소셜 엔지니어링·프론트엔드 침해 등 인프라 레벨 공격에서 비롯되었습니다.

시장 영향과 투자자 심리

이번 사건은 이더리움 생태계 전반의 리스크 프리미엄을 급격히 상승시켰습니다. AAVE 토큰은 해킹 발표 직후 20% 가까이 급락했고, 일부 트레이더들은 85달러까지의 추가 하락 가능성을 지적하고 있습니다. Ethereum 현물 가격 역시 위험회피 심리 확산과 함께 약세 압력을 받았으며, 리퀴드 리스테이킹 토큰(LRT) 섹터 전체에 대한 디스카운트가 확대되었습니다. 한편 Bitcoin은 7만 5천 달러 지지선을 중심으로 변동성이 증가한 상태입니다.

소셜 미디어와 암호화폐 커뮤니티에서는 "DeFi는 죽었다(DeFi is dead)"는 극단적 반응까지 나왔습니다. CoinDesk가 인용한 복수의 업계 관계자들은 크로스체인 브리지의 본질적 취약성, 리스테이킹 파생상품의 재담보화 리스크, 그리고 주요 대출 프로토콜의 비격리형 담보 정책이 구조적으로 재검토되어야 한다고 지적했습니다.

향후 전망과 시사점

단기적으로 시장의 관심은 Aave 거버넌스의 악성부채 처리 방식에 집중될 것입니다. Umbrella 슬래싱과 stkAAVE 슬래싱이 실제로 발동될 경우 AAVE 토큰 홀더들에게 직접적 희석 압력이 가해지며, DAO 트레저리 자금 투입은 프로토콜의 장기 성장 재원을 소진시킬 수 있습니다. 반대로 적절한 복구 메커니즘이 작동한다면, Aave의 리스크 엔진이 실전에서 검증되었다는 긍정적 서사로 전환될 여지도 있습니다.

중기적으로는 LayerZero 등 크로스체인 메시징 프로토콜의 검증자 구성 표준이 강화될 전망입니다. 다중 검증자 설정이 사실상 업계 표준으로 강제될 가능성이 높으며, 이를 준수하지 않는 브리지 프로젝트는 주요 대출 프로토콜의 담보 화이트리스트에서 제외될 수 있습니다. 또한 EigenLayer 기반 리스테이킹 생태계 전반에 걸쳐 담보 격리(isolated collateral) 시장의 확산이 가속화될 것으로 예상됩니다.

투자자 입장에서 얻을 수 있는 교훈은 명확합니다. DeFi의 수익률은 대부분 크로스체인·리스테이킹·담보 재사용이라는 복합 리스크의 보상이며, 특정 프로토콜의 사고가 겉보기와 무관한 자산의 유동성을 일순간에 증발시킬 수 있다는 점이 이번 사건으로 실증되었습니다. rsETH와 유사한 구조의 리퀴드 리스테이킹 토큰에 익스포저를 가진 투자자라면 담보 구조, 브리지 검증 방식, 대출 프로토콜의 격리 정책을 재점검할 필요가 있습니다.

결론

Kelp DAO 해킹은 단순한 2억 9,300만 달러의 손실을 넘어, DeFi 생태계가 여전히 단일 실패 지점(single point of failure)에 얼마나 취약한지를 적나라하게 드러냈습니다. 132억 달러의 TVL이 48시간 만에 증발한 이번 사건은 크로스체인 보안, 리스테이킹 담보 구조, 대출 프로토콜의 격리 정책이라는 세 가지 핵심 축에서 근본적 재설계를 요구하고 있습니다. 투자자들은 당분간 DeFi 섹터 전반에 대한 리스크 프리미엄 확대와 거버넌스 이벤트에 따른 변동성을 염두에 두고 포지션을 관리해야 합니다.