2억 9,300만 달러 규모 KelpDAO 해킹 사태: 인프라 취약성과 시스템 복잡성이 불러온 DeFi의 새로운 보안 국면

2026년 4월 18일, 탈중앙화 금융(DeFi) 부문은 KelpDAO에서 2억 9,300만 달러가 유출되는 사상 유례없는 정교한 공격을 받았다. 과거의 코드 수준 버그와 달리, 이번 공격은 생태계의 근간인 인프라를 직접 겨냥하여 내부 노드를 침해하고 설정 결함을 악용했다는 점에서 그 심각성을 더한다.

사건 발생 후 약 한 달이 지난 2026년 5월 16일 현재, 업계는 실험적 금융의 시대가 저물고 고도의 보안 표준이 요구되는 새로운 제도적 현실에 직면해 있다. 이번 사태는 DeFi가 단순한 '코드의 집합'을 넘어 복잡한 상호 연결성을 관리해야 하는 성숙기에 접어들었음을 시사하는 결정적 계기가 되었다.

공격자는 rsETH 어댑터에 위조된 LayerZero 패킷을 전달하는 방식으로 단일 트랜잭션에서 116,500 rsETH를 탈취하는 데 성공했다. KelpDAO 측은 추가 공격을 막기 위해 즉시 컨트랙트를 일시 중단했으나, 초기 자산 유출은 이미 완료된 상태였다. 이번 사건은 2026년 발생한 DeFi 해킹 중 최대 규모로 기록되며 시장에 큰 충격을 주었다.

이번 사건은 단순한 컨트랙트 수준의 방어를 넘어, 통합된 프로토콜 간에 공격이 얼마나 빠르게 확산될 수 있는지를 보여주는 사례다. - Deddy Lavid, Cyvers CEO

이번 해킹은 스마트 컨트랙트 자체의 취약점이 아닌 오프체인 인프라의 실패에서 비롯되었다. 공격자들은 통신 노드를 '오염'시켜 시스템이 위조된 메시지를 신뢰하도록 유도했으며, 특히 탈중앙화 검증인 네트워크(DVN)가 단일 검증인 노드만으로 운영되는 '1-of-1' 설정이었던 점이 치명적인 단일 실패 지점으로 작용했다.

라자루스 그룹의 연루와 지능형 악성코드의 위협

체이널리시스(Chainalysis) 등 보안 전문가들은 이번 공격의 배후로 북한의 라자루스 그룹(Lazarus Group)을 지목했다. 이들은 감염된 RPC 노드에서 임무를 수행한 후 스스로 삭제되도록 설계된 지능형 악성코드를 사용하여 사후 포렌식 조사를 극도로 어렵게 만드는 치밀함을 보였다.

• 내부 RPC 노드 침해를 통한 데이터 세트 조작 및 오염
• 외부 노드에 대한 분산 서비스 거부(DDoS) 공격으로 검증 프로세스 방해
• 검증인의 승인을 유도하기 위해 위조된 크로스체인 메시지 삽입

KelpDAO의 자산 유출은 즉각적인 시장 연쇄 반응을 불러일으켰으며, 단 이틀 만에 DeFi 전체 TVL에서 132억 1,000만 달러가 증발하는 결과를 초래했다. 특히 최대 대출 플랫폼인 에이브(Aave)는 오염된 rsETH 담보물에 대한 우려로 인해 예치 자산이 264억 달러에서 180억 달러로 급감하는 등 막대한 타격을 입었다.

이제 DeFi 보안의 전선은 단순한 코딩 버그에서 시스템적 복잡성과의 싸움으로 이동하고 있다. 서로 얽혀 있는 크로스체인 프로토콜과 리스테이킹 구조는 하나의 지점에서 발생한 오류가 전체 생태계의 유동성을 위협하는 거대한 위험 요인이 되었으며, 이는 더 견고한 보안 아키텍처의 필요성을 강조한다.

2026년 현재 시행 중인 유럽연합의 가상자산시장법(MiCA)은 이러한 대규모 해킹 사태에서 자산 회수와 책임 소재 규명을 위한 법적 프레임워크를 제공하고 있다. 강화된 규제 환경은 프로토콜들이 기관급 보안 표준과 컴플라이언스를 채택하도록 강제하며, 생태계가 장기적으로 생존하기 위한 체질 개선을 유도하고 있다.

향후 시장 안정화 여부는 KelpDAO가 발표할 최종 기술 포렌식 보고서와 에이브의 불량 부채 해결 과정에 달려 있다. 이번 2억 9,300만 달러 규모의 손실은 DeFi가 진정한 금융 인프라로 거듭나기 위해 반드시 넘어야 할 보안과 신뢰의 문턱을 상기시키는 혹독한 통과 의례로 기록될 전망이다.