KelpDAO 브릿지 익스플로잇에 따른 130억 달러 규모의 디파이 시장 위축과 업계 공동 구제 금융의 전개
2026년 4월 18일 발생한 KelpDAO의 2억 9,200만 달러 규모 해킹 사고가 전체 디파이 시장에서 130억 달러의 자산 유출을 촉발했다. 이에 대응하여 주요 프로토콜들이 '디파이 유나이티드'를 결성, 시스템 붕괴를 막기 위한 자발적 구제 금융에 나섰다.
2026년 4월 중순, 불과 48시간 만에 탈중앙화 금융(DeFi) 생태계는 역사적인 유동성 위기에 직면했다. 4월 18일 발생한 KelpDAO의 2억 9,200만 달러 규모 익스플로잇은 전체 예치 자산(TVL) 중 130억 달러가 증발하는 연쇄 반응을 일으키며 시장에 큰 충격을 주었다.
이번 사태는 단순한 스마트 계약 오류가 아닌 정교한 인프라 공격에서 비롯되었으며, 업계는 이를 해결하기 위해 '디파이 유나이티드(DeFi United)'라는 비상 재자본화 데스크를 구성했다. 이는 중앙은행이나 규제 기관의 개입 없이 프로토콜들이 자발적으로 모여 '최종 대부자' 역할을 수행한 첫 번째 사례로 기록될 전망이다.
KelpDAO의 리퀴드 리스테이킹 토큰인 rsETH의 가치 담보가 훼손되자 시장은 즉각적인 공포에 빠졌다. 특히 Aave와 같은 주요 대출 플랫폼에서 rsETH를 담보로 사용하던 자산들이 위험에 처하면서, 단 이틀 만에 130억 달러 규모의 자본이 시장에서 빠져나갔다. 이러한 급격한 자본 이탈은 개별 프로토콜의 문제를 넘어 전체 생태계의 유동성 경색으로 이어졌다.
이번 사태는 단일 프로토콜의 보안 사고가 어떻게 전체 디파이 생태계의 시스템적 위기로 번질 수 있는지를 보여주는 뼈아픈 사례다.
조사 결과, 이번 공격은 북한의 라자루스 그룹(Lazarus Group)과 연계된 것으로 파악되었다. 공격자들은 스마트 계약의 허점을 노리는 대신 RPC 노드를 오염시켜 가짜 교차 체인 메시지를 생성하고, 이를 통해 116,500 rsETH를 무단으로 인출하는 고도의 인프라 공격 기법을 사용했다. 공격 직후 약 8,000만 달러 상당의 자산이 토르체인(THORChain)을 통해 세탁된 것으로 확인되었다.
rsETH 가치 고정 해제와 시스템적 리스크
레이어 2 네트워크에서 유통되던 rsETH의 실질적인 담보가 사라지면서 rsETH의 페깅(가치 고정)이 무너졌다. Aave는 자사 프로토콜의 기술적 결함은 없음을 강조했으나, rsETH를 담보로 수용했던 풀에서 유동성 위기가 발생하며 약 84억 5,000만 달러의 자금 유출을 겪었다. 이는 리스테이킹 자산이 디파이 전반에 걸쳐 얼마나 깊게 통합되어 있는지를 여실히 보여주었다.
- KelpDAO 브릿지에서 116,500 rsETH 탈취
- Aave 내 rsETH 담보 시장의 유동성 경색 발생
- 전체 디파이 TVL의 약 10% 이상이 단기 유출
위기가 심화되자 222개의 지갑이 참여한 '디파이 유나이티드'가 결성되어 총 69,550 ETH를 모금했다. 이 자금은 rsETH의 담보를 복구하고 시장의 신뢰를 회복하기 위한 긴급 재자본화 자금으로 투입되었으며, 1,600건 이상의 트랜잭션을 통해 신속하게 집행되었다. 이는 규제 기관의 도움 없이 업계 스스로가 치유 능력을 증명한 사례로 평가받는다.
2026년 4월 27일 현재, 복구 작업은 상당한 진전을 보이고 있으나 여전히 해결해야 할 과제가 남아 있다. 아비트럼 보안 위원회(Arbitrum Security Council)가 동결한 30,700 ETH와 공동 노력을 통해 회수한 40,300 rsETH를 포함해 총 73,700 ETH가 확보되었으나, 초기 부족분인 163,200 ETH를 고려하면 여전히 약 89,500 ETH의 격차가 존재하는 상태다.
기관 및 프로토콜의 대응과 보안 패러다임의 변화
Aave 거버넌스는 이번 사태 해결을 위해 25,000 ETH를 할당하는 방안을 제안하며 생태계 안정화에 힘을 보태고 있다. 아비트럼 역시 공격자의 자금을 신속히 동결하며 추가 피해를 막았으나, 제3자 자산 도입에 따른 유동성 리스크 관리가 향후 디파이 거버넌스의 핵심 과제로 부상했다. 각 프로토콜은 이제 외부 자산의 리스크가 내부 시스템으로 전이되는 것을 방지하기 위한 안전장치를 강화하고 있다.
이번 사건은 디파이 보안의 초점이 스마트 계약 감사를 넘어 오프체인 인프라와 RPC 노드 보호로 확장되어야 함을 시사한다. 국가 지원 해커 조직의 정교한 공격에 맞서기 위해서는 프로토콜 간의 실시간 정보 공유와 인프라 계층의 보안 강화가 필수적이다. 업계 전문가들은 이번 사고를 계기로 디파이 인프라 전반에 대한 보안 표준이 재정립될 것으로 내다보고 있다.
130억 달러라는 막대한 손실은 디파이의 취약성을 드러냈지만, 동시에 '디파이 유나이티드'의 신속한 대응은 생태계의 성숙도를 보여주었다. 이번 위기 극복 과정에서 구축된 자발적 구제 메커니즘은 향후 발생할 수 있는 시스템적 위기에 대응하는 새로운 표준이 될 것으로 보인다. 디파이는 이번 시련을 통해 더욱 견고하고 자생적인 금융 시스템으로 진화하고 있다.
| Source/Mechanism | Amount (ETH/rsETH) | Status |
|---|---|---|
| Coordinated Recovery Efforts | 40,300 rsETH | Recovered |
| Arbitrum Security Council | 30,700 ETH | Secured/Frozen |
| Aave Proposed Allocation | 25,000 ETH | Proposed |
| Total Recovered/Secured | 73,700 ETH | Current Total |
| Remaining Shortfall | 89,500 ETH | Outstanding Gap |
Breakdown of funds recovered and secured following the April 18 exploit.
본 콘텐츠는 정보 및 논평을 위한 것이며 투자 자문이 아닙니다.
기사에 대한 반응을 남겨보세요
다른 독자의 코멘트를 보고, 바로 의견을 남길 수 있습니다.