- 4월 19일 Kelp DAO의 크로스체인 브릿지에서 $2억 9,200만(약 4,000억 원) 탈취
- 공격 방법: LayerZero 메시지 위조 → rsETH 116,500개 탈취
- 탈취된 rsETH를 Aave에 담보 예치 → wETH 차입 → Aave TVL $66억 하루 만에 증발
- Aave 부실채권 약 $1억 9,600만 발생 — 거버넌스 긴급 투표 진행 중
- 2026년 2주간 DeFi 누적 피해 총 $6억 달러 돌파
사건 개요 — 무슨 일이 일어났나?
2026년 4월 19일 오후 5시 35분(UTC), 탈중앙화 금융(DeFi) 생태계를 뒤흔드는 사건이 발생했다. 이더리움 기반 리스테이킹 프로토콜 Kelp DAO의 크로스체인 브릿지에서 116,500 rsETH(리스테이킹 이더리움)가 순식간에 빠져나갔다. 당시 시세 기준 약 2억 9,200만 달러(한화 약 4,000억 원)에 달하는 규모로, 이는 2026년 들어 발생한 DeFi 해킹 사례 중 최대치를 갱신한 것이다.
더 충격적인 것은 피해가 Kelp DAO에서 끝나지 않았다는 점이다. 공격자는 탈취한 rsETH를 DeFi 최대 렌딩 프로토콜 Aave에 담보로 맡기고 이더리움(wETH)을 대출받는 방식으로 피해를 확대했다. Aave의 하루 TVL(총 예치 자산)이 264억 달러에서 198억 달러로 66억 달러 감소했으며, AAVE 토큰 가격도 16% 폭락했다.
공격 메커니즘 — LayerZero 메시지 위조란?
이번 공격을 이해하려면 먼저 LayerZero가 무엇인지 알아야 한다. LayerZero는 서로 다른 블록체인 네트워크 간에 메시지를 전달하는 크로스체인 통신 인프라다. 예를 들어 이더리움에서 발생한 거래 정보를 아비트럼이나 BNB 체인에 전달하는 역할을 한다. Kelp DAO의 브릿지도 LayerZero를 사용해 rsETH를 여러 체인에서 이동시킬 수 있게 설계되어 있었다.
공격자는 이 신뢰 모델의 허점을 파고들었다. 스마트컨트랙트 코드 버그를 찾은 게 아니라, LayerZero 메시지 레이어 자체를 위조해 Kelp의 브릿지가 마치 정상적인 명령을 받은 것처럼 착각하게 만들었다.
🔍 공격 타임라인 단계별 분석
| 시간 (UTC) | 행동 | 내용 |
|---|---|---|
| 07:35 | 자금 준비 | Tornado Cash를 통해 6개 지갑에 공격 자금 세탁·분산 |
| 17:35 | 공격 실행 | LayerZero 메시지 위조 → Kelp 브릿지에서 rsETH 116,500개 탈취 |
| 17:40 | ZachXBT 경보 | 온체인 탐정 ZachXBT, Telegram에 6개 연관 지갑 공개 |
| 17:xx | Aave 악용 | 탈취한 rsETH → Aave V3 담보 예치 → wETH 대출 실행 |
| 18:21 | 긴급 동결 | Kelp 멀티시그, 컨트랙트 전체 동결 (공격 후 46분) |
| 18:26 / 18:28 | 2차 시도 | rsETH 40,000개 추가 탈취 시도 2건 → 컨트랙트 동결로 실패 |
공격자는 사전에 치밀하게 준비했다. 공격 실행 10시간 전부터 Tornado Cash(암호화폐 믹서)를 통해 자금을 세탁하고, 6개의 별도 지갑으로 분산해 추적을 어렵게 만들었다. 브릿지 동결 이후에도 추가 공격을 두 차례 더 시도했다는 점에서, 사전에 복수의 공격 시나리오를 준비한 전문적인 해커 집단의 소행으로 분석되고 있다.
Aave는 왜 피해를 입었나? — DeFi 연쇄 감염
Kelp DAO 해킹이 단순한 브릿지 사고로 끝나지 않은 이유는 DeFi의 구조적 연결성 때문이다. 공격자는 탈취한 rsETH를 즉시 Aave V3(이더리움 메인넷)에 담보로 예치하고, 그 담보 가치만큼 wETH(랩드 이더리움)를 대출받았다.
문제는 Kelp 컨트랙트가 동결되면서 rsETH의 실질 가치가 0에 수렴하게 됐다는 점이다. Aave 입장에서는 정상 담보로 받았던 rsETH가 하루아침에 휴지조각이 됐고, 대출금은 회수 불가능한 부실채권(Bad Debt)으로 전락했다. Aave에 발생한 부실채권 규모는 약 1억 9,600만 달러로 추산된다.
Aave에는 예기치 못한 손실을 보전하기 위한 Umbrella 보험 리저브가 존재한다. 그러나 이번 부실채권 규모($196M)가 리저브를 초과할 경우, stkAAVE(거버넌스 토큰 스테이킹) 보유자들이 슬래싱(강제 손실 부담)을 당할 수 있다. 즉, Aave에 돈을 예치하거나 AAVE 토큰을 스테이킹한 일반 사용자도 손실을 입을 수 있는 구조다.
Aave만이 아니었다. SparkLend, Fluid, Upshift 등 rsETH를 담보 자산으로 허용했던 다른 DeFi 프로토콜들도 줄줄이 rsETH 시장을 동결했다. DeFi 전체 TVL이 하루 만에 100억 달러 이상 감소하는 패닉 인출 사태가 벌어졌다.
피해 규모 한눈에 보기
| 피해 주체 | 피해 규모 | 내용 | 현황 |
|---|---|---|---|
| Kelp DAO | $292M | rsETH 116,500개 탈취 | 컨트랙트 동결 중 |
| Aave V3 | $196M | rsETH 담보 부실채권 | 긴급 거버넌스 투표 중 |
| Aave TVL | -$6.6B | $26.4B → $19.8B 패닉 인출 | rsETH 시장 동결 |
| AAVE 토큰 | -16% | 사건 당일 가격 하락 | 회복 중 |
| DeFi 전체 TVL | -$10B+ | 공황 인출 파급 효과 | SparkLend 등 동결 |
2026년 2주간 DeFi 피해 $6억 — 이번이 처음이 아니다
Kelp DAO 사태가 더욱 충격적인 이유는 이것이 2주 만에 발생한 두 번째 대형 DeFi 해킹이기 때문이다. 이전에 Drift 프로토콜 해킹이 수억 달러 피해를 낸 데 이어, Kelp이 Drift를 넘어서는 규모로 2026년 최대 DeFi 익스플로잇 기록을 갈아치웠다. 2주 누적 피해 합계는 6억 달러를 돌파했다.
| 날짜 | 프로토콜 | 피해 규모 | 공격 유형 |
|---|---|---|---|
| 2026년 4월 초 | Drift Protocol | ~$280M | 가격 조작 |
| 2026-04-19 | Kelp DAO | $292M | 크로스체인 메시지 위조 |
| 2주 누적 합계 | $600M+ | ||
구조적 문제 — LRT(리스테이킹 토큰)가 담보가 되면 왜 위험한가?
이번 사태의 핵심에는 LRT(Liquid Restaking Token)의 구조적 리스크가 있다. LRT는 이더리움을 스테이킹한 증서(stETH)를 다시 한번 스테이킹해 추가 수익을 얻는 리스테이킹 포지션의 유동성 토큰이다. rsETH(Kelp DAO), ezETH(Renzo), weETH(EtherFi) 등이 대표적이다.
LRT는 복잡한 의존성 체인을 갖는다: 이더리움 → 스테이킹(stETH) → 리스테이킹(rsETH) → DeFi 담보. 이 중 어느 한 단계에서 문제가 발생하면 전체 체인이 무너진다. Kelp 브릿지 해킹이 발생하자 rsETH의 기초 가치 자체가 흔들렸고, Aave는 이 토큰을 담보로 허용했던 탓에 그 리스크를 고스란히 떠안게 됐다.
- 이더리움 스테이킹 수익 + 리스테이킹 수익 동시 획득
- DeFi 담보로 활용해 추가 유동성 확보
- 자본 효율성 극대화
- 기초 프로토콜 해킹 시 토큰 가치 즉시 붕괴
- 크로스체인 브릿지 추가 취약점 노출
- DeFi 담보로 쓰일 때 연쇄 파산 위험
- 스마트컨트랙트 복잡도 증가 → 공격 표면 확대
업계 전문가들은 이번 사태가 “DeFi의 수익률 추구(Yield Farming)가 만들어낸 구조적 취약점“이라고 진단한다. 더 높은 수익을 위해 더 복잡한 구조를 쌓아올릴수록 최하단 레이어의 작은 결함이 전체 시스템을 무너뜨릴 수 있다는 것이다. 크립토 커뮤니티 일각에서는 “DeFi is Dead”라는 극단적 반응도 나왔지만, 대부분의 전문가는 이를 리스크 관리 체계 재정비의 신호로 해석하고 있다.
투자자가 지금 알아야 할 것들
✅ DeFi 참여자 안전 체크리스트
| 🔍 | LRT 담보 비중 확인 — 현재 참여 중인 DeFi 프로토콜이 rsETH, ezETH 등 LRT를 담보로 허용하는지 확인하고 리스크 비중 관리 |
| 🌉 | 크로스체인 브릿지 주의 — 단일 브릿지에 거액을 예치하는 것은 고위험. 브릿지는 역사적으로 해킹 1순위 타겟 |
| 🛡️ | 보험 리저브 확인 — Aave처럼 보험 시스템이 있어도 손실을 전액 커버하지 못할 수 있음. 프로토콜의 리저브 규모 확인 필요 |
| 📊 | 수익률 vs 복잡도 트레이드오프 — APY 20%+ 상품은 그만큼의 구조적 복잡도와 리스크를 동반함. 단순한 구조일수록 리스크 낮음 |
| 🔔 | ZachXBT 등 온체인 탐정 팔로우 — 해킹 발생 시 가장 빠른 경보는 공식 채널이 아닌 온체인 분석가에게서 나옴. 트위터·텔레그램 알림 설정 권장 |
앞으로의 전망 — DeFi는 어떻게 달라질까?
이번 사태 이후 DeFi 생태계에 몇 가지 구조적 변화가 예상된다.
첫째, LRT 담보 허용 기준 강화다. Aave, Compound 등 주요 렌딩 프로토콜들이 LRT의 담보인정비율(LTV)을 대폭 낮추거나 상한선을 설정하는 거버넌스 제안이 잇따를 것으로 보인다. 담보 자산의 “유동성 출처”가 얼마나 복잡한지를 리스크 기준에 반영하는 방식이다.
둘째, 크로스체인 메시지 검증 체계 개선이다. LayerZero 메시지 위조가 가능했던 이유는 단일 오라클 신뢰 모델의 한계 때문이었다. 다중 검증자(Decentralized Verification Network)를 요구하는 방식으로 크로스체인 인프라 전반의 보안 설계가 재검토될 것이다.
셋째, DeFi 보험 시장 확대다. Nexus Mutual, InsurAce 등 온체인 보험 프로토콜에 대한 관심이 급격히 높아질 전망이다. 특히 기관 투자자가 DeFi에 진입하기 위해서는 보험 없이는 불가능하다는 인식이 자리잡고 있다.
💡 COINCRAFT 인사이트
이번 Kelp DAO / Aave 사태는 DeFi의 종말을 알리는 신호가 아니다. 오히려 DeFi가 진정한 금융 인프라로 성숙하기 위해 반드시 거쳐야 할 스트레스 테스트다. 전통 금융도 1929년 대공황, 2008년 금융위기를 거쳐 지금의 리스크 관리 체계를 만들었다. DeFi도 같은 과정을 밟고 있을 뿐이다. 단, 그 과정에서 투자자의 자산을 지키는 것은 각자의 몫이다. 복잡한 구조일수록 리스크를 이해하고, 이해하지 못한 곳에는 투자하지 않는 원칙이 어느 때보다 중요하다.
본 글은 공개된 온체인 데이터 및 미디어 보도를 기반으로 작성된 정보 제공 목적의 분석 글입니다. 투자 권유가 아니며, 모든 투자 결정은 본인의 판단과 책임 하에 이루어져야 합니다.
About the Author
