Aave 주도 'DeFi United' 구제 작전: $292M KelpDAO 해킹 후 $17B 뱅크런 극복기
'DeFi United'의 출범: 사상 최대 규모의 디파이 구조 작전
2026년 4월 18일 토요일, 디파이 역사상 가장 충격적인 단일 사건 중 하나가 발생했습니다. 유동 리스테이킹 프로토콜 KelpDAO가 LayerZero 기반 크로스체인 브릿지에서 116,500 rsETH(약 2억 9,200만 달러)를 도난당한 사건이 그것입니다. 일주일이 지난 4월 25일 현재, 시장의 관심은 이미 해킹 자체를 넘어 Aave가 주도하는 사상 최대 규모의 자율적 디파이 구조 작전, 이른바 "DeFi United"로 옮겨가고 있습니다. CoinDesk에 따르면 이번 협력체에 모인 ETH 공약 규모는 이미 43,500 ETH(약 1억 100만 달러)를 돌파했으며, 참여 기관 명단은 시간이 갈수록 늘어나고 있습니다.
이번 사태는 단순한 해킹 사건이 아니라 디파이 구조 자체의 시스템적 취약성을 드러낸 사건이었습니다. Aave의 총 예치자산(TVL)은 사건 이후 48시간 동안 약 84억 5,000만 달러가 빠져나가며 약 179억 5,000만 달러 수준까지 추락했고, 디파이 전체 TVL 역시 994억 달러에서 862억 달러로 132억 달러가 증발했습니다. AAVE 토큰 가격은 사건 직후 115달러에서 92달러 아래로 약 20% 급락했습니다.
사건의 발단: 단일 검증자(DVN) 구성의 치명적 결함
Galaxy Research와 OpenZeppelin이 공개한 분석에 따르면, 이번 공격은 스마트 컨트랙트의 코드 결함이 아니라 오프체인 인프라의 구성 오류를 노린 정교한 공격이었습니다. KelpDAO는 LayerZero의 OFT(Omnichain Fungible Token) 표준을 사용해 rsETH를 약 20개 체인에 브릿지하고 있었는데, 검증자(DVN)로 LayerZero Labs DVN 단 한 곳만 지정되어 있었습니다. 즉, 이 단일 검증자가 거짓 메시지를 사실로 인식하면 이를 막을 독립적인 두 번째 검증자가 존재하지 않는 구조였습니다.
공격자는 LayerZero Labs DVN이 소스 체인 상태를 조회할 때 사용하는 RPC 노드 두 곳을 침해해, 위조된 크로스체인 메시지를 정당한 메시지로 통과시키는 데 성공했습니다. 그 결과 이더리움 메인넷의 에스크로에서 담보 없이 116,500 rsETH가 새로 발행되어 공격자가 통제하는 주소로 이동했습니다. LayerZero는 사건 직후 "북한 라자루스 그룹의 소행"이라고 공식 발표하며 책임을 KelpDAO 측 구성에 돌렸지만, KelpDAO는 "문제의 단일 검증자 구성은 LayerZero의 기본값과 인프라에 의존한 결과"라며 반박하고 있습니다. 이 공방은 향후 디파이 보안 표준의 책임 귀속 논쟁에서 중요한 선례로 남을 가능성이 큽니다.
$17B 뱅크런: rsETH 담보가 만든 디파이 도미노
공격자의 진짜 노림수는 단순한 토큰 절취가 아니었습니다. 도난당한 rsETH 중 약 9만 개를 즉시 Aave V3에 담보로 예치한 뒤, 이를 근거로 ETH·wstETH·USDC 등 약 1억 9,000만~2억 3,600만 달러 상당의 자산을 차입한 것입니다. 문제는 그 담보가 실제 ETH의 뒷받침이 없는 "무담보 발행분(unbacked supply)"이라는 점이었습니다. The Defiant와 KuCoin Research에 따르면, 이 거래로 Aave에는 rsETH-wETH 페어를 중심으로 약 1억 9,600만 달러 규모의 부실채권(bad debt)이 누적되었습니다.
부실채권 자체보다 더 심각했던 것은 Aave 사용자들의 즉각적인 신뢰 붕괴였습니다. 사건 발생 24시간 만에 고래(whale) 지갑들이 60억 달러 이상을 Aave에서 인출했고, 주요 ETH·USDT·USDC 풀의 가용 유동성 사용률(utilization)이 100%에 도달하며 차입 금리가 단숨에 세 자릿수까지 치솟았습니다. CoinDesk는 이 시기 Aave의 차입 잔액이 단 하루 만에 3억 달러 가까이 급증했다고 전했습니다. "smaugvision"이라는 익명의 고래 지갑은 단독으로 20,015 AAVE를 약 206만 달러에 매도했고, 비슷한 규모의 매도가 두 차례 더 이어지며 도합 6,000만 AAVE 가까이가 24시간 안에 시장에 쏟아졌습니다.
DeFi United: 자발적 코디네이션의 새 모델
이런 시스템적 위기 속에서 등장한 것이 바로 "DeFi United"입니다. 이는 중앙화된 어떤 기관의 명령이나 정부 규제가 아닌, 디파이 프로토콜들의 자발적 협력으로 만들어진 구조 펀드입니다. 4월 23일 Aave 거버넌스 포럼에 게시된 [ARFC] rsETH Incident Funding Update 제안서에는 다음과 같은 약정이 정리되어 있습니다.
Aave 창립자 Stani Kulechov은 본인 자산 5,000 ETH(약 1,150만 달러)를 사재로 출연하기로 했습니다. 그는 "Aave는 제 인생의 작품이며, 사용자에게 가장 좋은 결과를 만들기 위해 우리는 한순간도 쉬지 않고 일하고 있습니다. 저는 개인적으로 5,000 ETH를 출연하겠습니다"라고 밝혔습니다. Mantle은 자사 트레저리에서 최대 30,000 ETH 규모의 신용공여 시설을 제안했는데, 이는 Lido의 stETH 수익률에 1%를 더한 금리로 36개월에 걸쳐 분할 상환하는 구조의 "MIP-34" 거버넌스 안건으로 정리되었습니다. Ether.fi는 5,000 ETH를, Lido DAO는 최대 2,500 stETH를, Golem Foundation과 Golem Factory는 합산 1,000 ETH를 각각 약정했습니다. 여기에 Frax Finance, Ethena, Tydro, Arbitrum 재단, Ink Foundation, 그리고 사건의 한 축에 있던 LayerZero까지 회복 프레임워크 제안에 합류했습니다.
총 약정 규모는 이미 1억 100만 달러를 넘어섰으며, KelpDAO 자체적으로 회수에 성공한 73,700 ETH를 합치면 무담보로 풀린 116,500 rsETH 중 상당 부분의 백업이 가시권에 들어왔습니다. 다만 약 89,500 ETH 규모의 잔여 갭은 여전히 채워야 할 과제로 남아 있습니다.
시장 영향: AAVE의 "V자 회복"과 LRT 시장의 재편
구조 작전의 윤곽이 잡힌 4월 20일을 기점으로 AAVE 토큰은 반등하기 시작했습니다. Decrypt가 인용한 시세 기준 4월 24일 AAVE는 94.33달러 수준으로 회복되었으며, 거래량은 평소의 4배가 넘는 수준을 유지하고 있습니다. invezz는 "Aave 팀의 신속한 대응이 시장의 신뢰를 빠르게 되돌리고 있다"고 평가했습니다.
반면 유동 리스테이킹 토큰(LRT) 섹터 전반은 구조적 재평가를 강하게 받고 있습니다. Aave는 이더리움, Arbitrum, Base, Mantle, Linea 등 5개 체인 모두에서 rsETH 적립금(reserve)을 동결했습니다. 시장에서는 EtherFi의 weETH, Renzo의 ezETH, Puffer의 pufETH 등 다른 LRT 자산에 대해서도 담보 인정 비율(LTV)을 재조정하라는 압박이 거세지고 있습니다. Yahoo Finance는 "Aave에서 빠져나간 150억 달러 중 상당수가 Sky(구 Maker)와 Morpho, 그리고 단순 stETH 예치 풀로 이동했다"고 보도했습니다. 사용자들이 "수익률 증폭 레이어"를 한 단계 줄이고 더 안전한 자산으로 대피하고 있다는 신호입니다.
의미와 전망: 디파이 거버넌스의 시험대
이번 사태가 던진 가장 큰 질문은 "디파이는 누가, 어떻게 책임지는가"입니다. 전통금융이라면 중앙은행의 최종 대부자(lender of last resort) 기능이나 예금자 보호 제도가 작동했겠지만, 디파이에는 그런 장치가 없습니다. 그럼에도 Aave를 중심으로 한 12개 이상의 프로토콜이 24~72시간 안에 1억 달러가 넘는 자본을 자발적으로 동원해 부실채권을 메우려는 시도는 디파이 자율 거버넌스의 가능성을 보여준 동시에 한계도 드러냈습니다.
Galaxy Research는 "이번 사건은 크로스체인 브릿지에서 단일 검증자 구성을 사용하는 모든 프로토콜에 사형 선고에 가까운 메시지"라고 평가했습니다. 향후 디파이 lending 시장에서는 다중 DVN 의무화, LRT 담보의 위험가중 한도 도입, 그리고 Aave의 Safety Module과 같은 보험성 자본 풀의 확충이 표준이 될 가능성이 큽니다. 특히 Mantle이 제안한 "36개월 분할 상환 신용공여" 모델은 추후 디파이 위기 시 표준적 "DAO간 구제금융" 템플릿이 될 수 있습니다.
투자자 관점에서 핵심 시사점은 세 가지입니다. 첫째, 유동 리스테이킹 토큰은 "이중 신뢰 가정(이더리움 + 외부 인프라)"을 내재하기 때문에 단순 stETH보다 본질적으로 위험합니다. 둘째, AAVE 토큰의 단기 변동성은 부실채권 흡수 속도와 거버넌스 표결 결과에 좌우될 것입니다. 셋째, 'DeFi United' 모델이 성공적으로 마무리될 경우 디파이는 "규제 없이도 시스템적 위기를 봉합할 수 있다"는 강력한 내러티브를 확보하게 됩니다.
결론
2억 9,200만 달러의 KelpDAO 해킹은 그 규모만 보면 2026년 최대 디파이 사건이지만, 진정한 역사적 의미는 그 뒤에 따라온 'DeFi United'에 있습니다. Aave가 주도한 이 자율적 협력체는 디파이가 위기에 직면했을 때 중앙기관의 개입 없이도 스스로 회복할 수 있다는 가능성을 보여주는 첫 대규모 시험대입니다. 4월 25일 현재, 1억 100만 달러 이상의 ETH가 약정되었고 AAVE 가격은 회복세에 있으며, 디파이 TVL도 점진적으로 안정을 찾고 있습니다. 그러나 89,500 ETH 규모의 잔여 갭, LRT 담보 모델의 재설계, 그리고 LayerZero·KelpDAO 간 책임 공방의 결말은 모두 향후 수개월간 디파이 시장의 향방을 결정할 핵심 변수로 남아 있습니다. 이번 사건은 단순히 "또 하나의 해킹"이 아니라, 디파이가 "성장 단계"에서 "성숙 단계"로 넘어가는 분기점이 될 가능성이 매우 높습니다.