Aave $100억 뱅크런 구제작전: DeFi 연합체가 쏘아올린 탈중앙화 금융 생존 신호

48시간 만에 빠져나간 100억 달러, 그러나 DeFi는 무너지지 않았습니다

2026년 4월 18일 토요일, 탈중앙화 금융(DeFi) 역사상 가장 격렬한 주말이 시작되었습니다. 리퀴드 리스테이킹 프로토콜 KelpDAO의 rsETH 브리지가 해킹당하면서 약 11만 6,500개의 rsETH, 금액으로는 약 2억 9,200만 달러 규모의 자산이 탈취되었습니다. 그러나 이 사건의 진짜 충격은 해킹 그 자체가 아니라, 그 여파로 촉발된 연쇄 반응이었습니다. 불과 48시간 만에 세계 최대 탈중앙화 대출 프로토콜 Aave에서 약 84억 5,000만 달러가 빠져나갔고, DeFi 시장 전체에서는 100억 달러 이상이 이탈했습니다. CryptoSlate의 표현을 빌리자면, 이는 전형적인 "뱅크런(bank-run) 광경"이었습니다.

하지만 이번 사태가 단순한 위기로만 기록되지 않은 이유가 있습니다. Aave 창업자 스타니 쿨레쇼프(Stani Kulechov)를 중심으로 한 DeFi 주요 프로토콜들이 'DeFi United'라는 연합체를 결성해 사상 최대 규모의 자율 구제작전에 나섰기 때문입니다. 본 분석에서는 무엇이 무너졌고, 누가 어떻게 구해냈으며, 이 사건이 탈중앙화 금융의 미래에 어떤 의미를 던지는지 짚어보겠습니다.

단 하나의 검증자 결함이 부른 도미노

사건의 기술적 뿌리는 KelpDAO가 LayerZero 크로스체인 브리지와 통합한 방식의 취약점에 있었습니다. CoinDesk와 Crypto Times의 보도에 따르면, 공격자는 '단일 검증자(single-verifier)' 구성의 결함을 악용해 백킹(backing) 자산 없이 11만 6,500개의 rsETH를 발행했습니다. 더욱 정교했던 점은 공격이 4월 18일 당일에 시작된 것이 아니라는 사실입니다. LayerZero의 사후 보고서에 따르면 공격은 이미 2026년 3월 6일, 한 LayerZero Labs 개발자를 대상으로 한 사회공학(social engineering) 기법으로 세션 키를 탈취하면서 시작되었습니다. 공격자는 이후 회사의 RPC 클라우드 인프라에 침투해 메모리를 변조하는 고도의 기술을 동원했습니다.

여러 보안업체들은 이 공격의 배후로 북한 연계 해킹 조직 라자루스 그룹(Lazarus Group)의 하위 조직 '트레이더트레이터(TraderTraitor)'를 지목했습니다. 주목할 점은 이번 사건이 스마트 컨트랙트의 코드 버그가 아니라 인프라, 거버넌스, 운영 보안의 허점에서 비롯되었다는 것입니다. CoinDesk는 "현대 DeFi의 가장 큰 취약점이 점점 더 코드가 아닌 인프라와 운영 보안에서 나오고 있다"고 분석했습니다. 프로토콜들이 브리지와 제3자 소프트웨어, 공유 의존성을 통해 깊숙이 연결되면서 한 곳의 약점이 전체로 번지는 구조가 만들어진 것입니다.

rsETH가 담보였기에, 위기는 Aave로 번졌습니다

rsETH는 단순한 토큰이 아니었습니다. 이더리움(ETH)에서 수익을 창출하는 파생 토큰으로, Aave를 비롯한 주요 대출 시장에서 광범위하게 담보(collateral)로 활용되고 있었습니다. 바로 이 점이 2억 9,200만 달러짜리 사건을 100억 달러짜리 시스템 위기로 키운 핵심 고리였습니다.

공격자는 백킹이 없는 가짜 rsETH 중 약 9만 개를 Aave V3와 V4에 담보로 예치한 뒤, 이더리움과 아비트럼(Arbitrum) 체인에서 WETH와 wstETH 같은 실제 자산을 빌렸습니다. 보도에 따르면 추출된 실제 자산 규모는 2억 3,600만 달러를 넘었고, 이로 인해 Aave에는 1억 2,300만~2억 3,000만 달러로 추정되는 악성 부채(bad debt)가 남았습니다. 담보가 사실상 휴지조각이 되었다는 사실이 알려지자, 예금자들은 남아 있는 자금을 회수하기 위해 앞다투어 출금에 나섰습니다. rsETH를 담보로 받던 Aave, SparkLend, Fluid 등 주요 대출 플랫폼은 즉각 rsETH 시장을 동결했습니다.

전통 금융의 뱅크런과 본질적으로 동일한 메커니즘이었습니다. 누구도 마지막까지 남아 손실을 떠안고 싶지 않았기에, 합리적 개인의 선택이 모여 집단적 자금 이탈로 이어졌습니다. 아비트럼 보안위원회(Arbitrum Security Council)는 긴급 권한을 발동해 해킹 연계 지갑에 있던 약 3만 766 ETH(약 7,500만 달러)를 동결했지만, PeckShield와 Cyvers는 이미 약 1억 7,600만 달러 상당의 탈취 자산이 THORChain, Umbra, BitTorrent 등을 통해 이동하기 시작했다고 추정했습니다.

'DeFi United': 누구도 강제하지 않은 구제금융

위기의 한복판에서 가장 인상적이었던 장면은 강제 권한이 없는 탈중앙화 생태계가 자발적으로 뭉쳤다는 점입니다. Decrypt와 Unchained의 보도에 따르면, Aave 서비스 제공자들이 주도하고 스타니 쿨레쇼프가 전면에 나선 'DeFi United' 연합체가 결성되었습니다. 목표는 명확했습니다. rsETH의 백킹을 복원하고, Aave에 남은 부족분을 메워 추가적인 악성 부채와 연쇄 청산을 막는 것이었습니다.

쿨레쇼프는 개인적으로 5,000 ETH를 구제 기금에 출연하며 팀이 "쉬지 않고(working nonstop)" 파트너들과 협력하고 있다고 밝혔습니다. 그는 4월 18일 브리지 해킹 직후 컨센시스(Consensys)를 비롯한 생태계 참여자들에게 일찍부터 연락을 취해 대응을 조율했습니다. Lido Finance, EtherFi가 ETH 출연을 제안했고, Mantle Network는 3만 ETH 규모의 백스톱을 추가했습니다. Phemex의 정리에 따르면 7개 프로토콜이 DeFi 역사상 최대 규모의 구제작전에 참여했습니다.

결과는 빠르고 구체적이었습니다. MEXC와 Arkham의 집계에 따르면 DeFi United는 약 6만 9,642 ETH, 금액으로 약 1억 6,100만 달러를 모금했으며, 이는 목표였던 약 2억 달러의 약 80%에 해당했습니다. 모금된 ETH는 세 갈래로 쓰였습니다. 첫째, 공개 시장에서 rsETH를 사들여 가격을 떠받치는 바이백(buyback) 프로그램, 둘째, 탈중앙화 거래소에 ETH-rsETH 페어를 공급하는 유동성 보강, 셋째, 해킹으로 자금을 잃은 사용자를 보상하는 보상 기금입니다. 해킹 발생 48시간 이내에 이뤄진 이 대응 속도는 DeFi 거버넌스 시스템의 성숙도를 보여준 사례로 평가받았습니다.

시장 충격과 회복: V4 TVL은 오히려 150% 급증

시장 데이터는 위기와 회복이 공존했음을 보여줍니다. AMBCrypto에 따르면 Aave의 총예치자산(TVL)은 사건 직후 약 18% 급감했습니다. 보다 넓게 보면 DeFi 전체 TVL은 약 264억 달러에서 며칠 만에 180억~200억 달러 수준으로 주저앉았습니다. Cryptonews의 표현대로 "2억 9,300만 달러의 해킹이 Aave에서 80억 달러를 증발시킨" 셈입니다.

그러나 흥미로운 반전이 이어졌습니다. Crypto Times의 보도에 따르면 Aave V4의 TVL은 30일 만에 150% 급증해 1억 500만 달러 정점을 찍은 뒤 5월 말 7,500만 달러 수준으로 안정화되었습니다. 신규 버전으로의 자금 이동, 그리고 구제작전 성공이 신뢰를 일정 부분 회복시킨 결과로 해석됩니다. 제도권의 평가도 의외로 차분했습니다. The Block에 따르면 스탠다드차타드(Standard Chartered)는 "DeFi는 휘었을 뿐 부러지지 않았다(bent, not broken)"며, 이번 rsETH 사태가 2조 달러 규모로 성장이 전망되는 실물자산(RWA) 토큰화 시장으로 가는 길을 탈선시키지는 않을 것이라고 진단했습니다.

다만 그늘도 분명합니다. FXStreet는 KelpDAO 여파와 차입금리 상승이 맞물리며 기관의 DeFi 채택에 압력이 가해지고 있다고 보도했습니다. The Crypto Basic은 누적 6억 600만 달러에 이른 보안 사고가 대중 채택의 가장 큰 걸림돌이라고 지적하며, 모든 대형 해킹이 "크립토는 너무 위험하고 복잡하다"는 인식을 다시 강화한다고 경고했습니다.

전망: 위기가 증명한 자정 능력, 그러나 숙제는 남았습니다

이번 사태는 탈중앙화 금융에 양면적 교훈을 남겼습니다. 한편으로 DeFi United의 구제작전은 중앙은행이나 예금보험공사 없이도 시장 참여자들이 자발적으로 시스템 리스크를 차단할 수 있음을 입증했습니다. 이는 2022년 중앙화 기관들의 연쇄 붕괴 때와 극명하게 대비됩니다. 다른 한편으로, 단 한 명의 개발자를 노린 사회공학 공격이 100억 달러 규모의 자금 이탈로 번질 수 있다는 사실은 상호연결성이 곧 시스템 취약성이 된다는 점을 적나라하게 드러냈습니다.

앞으로 주시해야 할 시나리오는 세 가지입니다. 첫째, 브리지와 인프라 보안의 표준화입니다. 단일 검증자 구조 같은 단일 실패점(single point of failure)을 제거하려는 움직임이 업계 전반으로 확산될 가능성이 큽니다. 둘째, 담보 자산의 리스크 관리 강화입니다. rsETH처럼 파생 토큰을 담보로 받는 프로토콜들은 더 보수적인 담보인정비율과 서킷브레이커를 도입할 것으로 보입니다. 셋째, 제도권 통합의 가속 또는 후퇴입니다. 2026년 6월 2일 비트와이즈(Bitwise)가 Aave Horizon의 자산 발행사로 선임되어 토큰화 수익 펀드를 운용하기 시작했고, Aave 앱의 전면 출시도 진행 중인 만큼, 이번 위기를 견뎌낸 신뢰가 기관 자금 유입으로 이어질지가 관건입니다.

투자자를 위한 핵심 시사점

결론적으로 KelpDAO-Aave 사태는 DeFi가 '실패할 수 있지만 스스로 복구할 수 있는' 단계에 진입했음을 보여준 분수령이었습니다. 투자자라면 두 가지를 동시에 기억해야 합니다. 첫째, 담보로 쓰이는 파생 토큰과 브리지 의존도가 높은 프로토콜은 본질적으로 연쇄 위험에 노출되어 있으므로, 분산과 리스크 한도 관리가 필수입니다. 둘째, 위기 국면에서 Aave V4의 TVL이 오히려 급증했듯, 견고한 거버넌스와 신속한 구제 능력을 갖춘 프로토콜은 오히려 시장 신뢰를 흡수하며 장기 승자가 될 수 있습니다. 휘었으나 부러지지 않은 이번 사건은, 탈중앙화 금융의 생존 신호인 동시에 끝나지 않은 보안 숙제를 함께 던지고 있습니다.