디파이 유나이티드, 2억 9,300만 달러 규모 켈프 익스플로잇 회복 계획 발표: rsETH 담보 복구 및 생태계 정상화 추진

2026년 4월 18일 미설정된 브릿지 매개변수로 인해 켈프 DAO(Kelp DAO)에서 2억 9,300만 달러가 유출된 지 열흘 만인 4월 28일, 업계 주요 기업들로 구성된 연합체인 '디파이 유나이티드(DeFi United)'가 rsETH의 담보를 복구하기 위한 확정적인 로드맵을 발표했다. 이번 제안은 총 163,183 ETH에 달하는 부족분 중 절반 이상을 충당하기 위한 약속을 이미 확보했으며, 이는 에이브 DAO(Aave DAO)와 컨센시스(Consensys)가 주도하는 탈중앙화 금융 역사상 가장 규모가 크고 체계적인 공동 구제 금융 사례 중 하나로 기록될 전망이다.

디파이 유나이티드가 공개한 기술적 계획의 핵심은 확보된 ETH 자산을 rsETH와 교환하여 담보를 보충하고, 에이브를 포함한 여러 프로토콜에 발생한 불량 부채를 청산하는 것이다. 2026년 4월 28일 공식 발표된 이 로드맵은 4월 18일 발생한 익스플로잇 이후 시장에 확산된 불확실성을 해소하고, rsETH를 담보로 사용하는 대출 시장의 안정성을 회복하는 데 초점을 맞추고 있다.

이번 회복 계획은 rsETH의 담보 가치를 복원하고 시장을 안정화하는 것을 최우선 목표로 하며, 디파이 생태계의 신뢰를 회복하기 위한 전례 없는 협력의 결과물이다.

연합은 14개 이상의 생태계 참여자가 협력하여 rsETH 보유자들의 피해를 최소화하고 프로토콜 간의 연쇄적인 위험을 차단하는 데 집중하고 있다. 특히 이번 계획은 단순히 자금을 투입하는 것을 넘어, 공격자와 연결된 디파이 포지션을 체계적으로 정리하여 추가적인 시장 충격을 방지하는 기술적 절차를 포함하고 있다.

기술적 분석: DVN 설정 오류의 전말

보안 전문가들의 사후 분석에 따르면, 이번 사고는 스마트 컨트랙트 코드 자체의 논리적 결함이 아니라 배포 과정에서의 설정 오류로 인해 발생했다. 공격자는 레이어제로(LayerZero) 기반의 크로스체인 브릿지에서 116,500 rsETH를 탈취했으며, 이는 당시 가치로 약 2억 9,300만 달러에 달하는 규모였다. 표준적인 감사 도구로는 감지하기 어려운 배포 매개변수의 취약점이 대규모 자산 유출의 통로가 되었다.

• 표준 권장 사항: 고가치 배포를 위해 2-of-3 또는 3-of-5 멀티시그 구성을 권장함.
• 실제 설정: 켈프의 어댑터는 단일(1-of-1) 증명만으로 메시지를 승인하도록 설정됨.
• 공격 수법: 공격자는 위조된 크로스체인 메시지를 사용하여 단일 증명 체계를 우회하고 자산을 유출함.

이번 사고로 유출된 자산은 당시 rsETH 전체 공급량의 약 18%를 차지하며 시장에 큰 충격을 주었다. 특히 rsETH를 담보로 활용하던 대출 시장에서는 담보 가치 하락으로 인한 불량 부채 문제가 대두되었으며, 에이브의 총 예치 자산(TVL)이 급감하는 등 사용자들이 불확실성을 피해 대안 프로토콜로 자금을 이동시키는 현상이 관측되었다.

회복을 위한 자금 조달에는 업계 주요 주체들이 대거 참여하여 책임 있는 모습을 보였다. 에이브 DAO는 25,000 ETH의 기여를 제안했으며, 컨센시스와 이더리움의 주요 이해관계자인 조 루빈(Joe Lubin)은 최대 30,000 ETH의 지원을 약속했다. 리도(Lido), 이더파이(EtherFi), 맨틀(Mantle) 등의 파트너들도 33,000 ETH 이상의 공동 기여를 약속하며 힘을 보탰다.

현재까지 확보된 기여 약속을 통해 전체 부족분인 163,183 ETH 중 약 54%에 해당하는 차이가 메워진 것으로 파악된다. 다만, 이러한 기여가 최종 확정되고 자금이 집행되기 위해서는 영향을 받은 14개 이상의 프로토콜에서 각각의 거버넌스 승인 절차를 거쳐야 하며, 연합은 이를 신속히 처리하기 위한 조율을 진행 중이다.

익스플로잇 발생 직후 에이브의 TVL이 하락하는 등 시장의 즉각적인 반응은 부정적이었으나, 디파이 유나이티드의 이번 발표 이후 회복에 대한 기대감이 커지고 있다. 특히 여러 프로토콜이 공유하는 유동성과 결합성으로 인해 발생한 '교차 프로토콜 전염' 위험을 공동 대응으로 해결하려는 시도는 시장 참여자들에게 긍정적인 신호로 받아들여지고 있다.

전문가들은 이번 사고를 계기로 프로토콜 팀이 기본 설정(Default Configuration)에 의존하는 위험성에 대해 경고하고 있다. 향후 보안 표준은 코드 로직에 대한 감사를 넘어 배포 매개변수와 크로스체인 구성의 안전성까지 포괄해야 하며, 특히 고가치 자산을 다루는 브릿지의 경우 다중 서명 증명 체계를 필수적으로 도입해야 한다는 목소리가 높다.

디파이 유나이티드의 활동은 향후 발생할 수 있는 대규모 보안 사고에 대한 산업적 대응 모델로 자리 잡을 전망이다. 이번 회복 계획이 성공적으로 마무리될 경우, 분산화된 거버넌스가 위기 상황에서 얼마나 신속하고 효율적으로 자원을 결집하여 시스템적 붕괴를 막을 수 있는지 증명하는 중요한 이정표가 될 것이다.