켈프다오 해킹, 디파이 유동성 위기 번졌나

켈프다오(Kelp DAO) 해킹 사태가 디파이 전반에 ‘유동성 위기’ 신호를 던졌다. 단순한 보안 사고를 넘어 구조적 취약성이 드러났다는 분석이 확산되고 있다.

이번 사건은 약 2억9,200만 달러(약 4,285억 원) 규모의 익스플로잇으로, rsETH를 중심으로 한 유동성 연쇄 반응을 촉발했다. rsETH는 이더리움(ETH) 리스테이킹 자산으로, 스테이킹 상태에서도 유동성을 유지할 수 있는 토큰이다.

대출 프로토콜 전반으로 번진 ‘출금 러시’

사건 직후 시장은 빠르게 흔들렸다. 온체인 데이터에 따르면 에이브(AAVE)를 포함한 주요 디파이 프로토콜에서 대규모 자금 이탈이 발생했다. 특히 에이브는 약 62억 달러 순유출이 발생하며 전체 예치금이 23% 감소했다.

이 과정에서 단순 인출을 넘어 ‘유동성 왜곡’ 현상도 나타났다. 일부 이용자들은 직접 출금이 어려워지자 스테이블코인을 대출받는 방식으로 사실상 자금을 회수했다. 시장에서는 이를 두고 ‘에이브 뱅크런’이라는 표현까지 등장했다.

실제 에이브 총예치금(TVL)은 4월 18일 264억 달러에서 이틀 만에 약 200억 달러 수준으로 급감했고, 토큰 가격 역시 18% 이상 하락했다.

문제는 해킹이 아닌 ‘설계’였다

기술 분석에서는 의외의 결론이 나왔다. 스마트컨트랙트 자체가 뚫린 것이 아니라, 크로스체인 검증 구조의 설정 문제가 핵심이었다는 지적이다.

공격자는 ‘단일 검증 서명’ 구조를 악용해 약 11만6,500개의 rsETH를 생성했고, 이를 기반으로 자산을 빼돌렸다. 즉 시스템 자체가 고장난 것이 아니라, 검증 방식이 과도하게 단순했던 것이다.

일부 개발자들은 이를 ‘보안 하한선이 없는 설계’라고 비판했다. 크로스체인 메시지를 검증하는 DVN(탈중앙 검증 네트워크)이 단일 노드로 운영될 수 있다는 점이 근본적 취약점이라는 설명이다.

이는 “놀이공원이 안전 기준을 임의로 정할 수 있는 롤러코스터”에 비유되며, 유연성이 오히려 리스크로 작용할 수 있다는 경고로 이어졌다.

디파이 전반으로 확산된 충격

이번 공격은 단일 프로젝트에 국한되지 않았다. 에이브(AAVE)는 rsETH 관련 기능을 중단했고, 리도(Lido) 역시 일부 연동 기능을 일시 중지했다. 여러 프로토콜이 연쇄적으로 노출을 줄이며 방어에 나섰다.

특히 rsETH 공급량의 약 18%에 해당하는 물량이 영향을 받으며 시장 불안은 극대화됐다. 공격자는 크로스체인 메시지를 조작해 정상적인 트랜잭션처럼 보이도록 만들었고, 이는 브릿지 구조 전반에 대한 신뢰를 흔들었다.

최근 디파이 시장은 악재가 이어지고 있다. 이달 초 솔라나 기반 프로토콜 드리프트가 약 2억8,500만 달러 규모 공격을 당한 데 이어, 다수 소형 프로젝트들도 연쇄 해킹을 겪었다.

“설정 점검이 곧 보안”…남겨진 과제

레이어제로는 현재 정확한 원인을 조사 중이며, 켈프다오와 함께 사후 보고서를 준비하고 있다고 밝혔다. 켈프다오 역시 모든 관련 계약을 일시 중단하고 대응에 나선 상태다.

이번 사건은 암호 해독이나 코드 취약점이 아니라 ‘설정’에서 비롯됐다는 점에서 업계에 더 큰 경각심을 주고 있다. 기술이 제대로 작동하더라도, 구성 방식에 따라 전체 시스템이 붕괴될 수 있다는 사실이 확인된 셈이다.

결국 이번 사태가 남긴 메시지는 단순하다. 디파이의 복잡성이 높아질수록 ‘설계와 설정’이 가장 큰 리스크가 될 수 있다는 점이다. 업계 전반에서 크로스체인 구조와 검증 체계에 대한 재점검이 불가피해 보인다.

---

기사요약 by TokenPost.ai 🔎 시장 해석 켈프다오 해킹은 단순 보안 사고를 넘어 디파이 구조 자체의 취약성을 드러낸 사건이다. rsETH 기반 유동성이 붕괴되며 Aave 등 주요 프로토콜에서 대규모 자금 이탈과 ‘뱅크런’ 현상이 발생했고, 크로스체인 신뢰도에도 타격을 줬다. 💡 전략 포인트 디파이 투자에서는 코드 안정성뿐 아니라 ‘설정(구성)’ 리스크를 반드시 점검해야 한다. 특히 크로스체인 브릿지, 리스테이킹 자산, 단일 검증 구조를 사용하는 프로젝트는 고위험군으로 분류할 필요가 있다. 📘 용어정리 rsETH: 이더리움 스테이킹 상태에서도 거래 가능한 리스테이킹 토큰 Aave: 암호화폐 예치 및 대출이 가능한 대표 디파이 프로토콜 DVN: 크로스체인 메시지 검증을 담당하는 탈중앙 네트워크 크로스체인: 서로 다른 블록체인 간 자산과 데이터를 이동시키는 기술

💡 자주 묻는 질문 (FAQ)

Q. 이번 켈프다오 해킹의 핵심 원인은 무엇인가요? 스마트컨트랙트 자체의 결함이 아닌, 크로스체인 검증 설정 문제가 핵심이었습니다. 단일 검증 서명 구조를 이용해 공격자가 가짜 메시지를 정상으로 인식하게 만들었고, 이를 통해 rsETH를 대량 생성해 자금을 탈취했습니다. Q. 왜 Aave 같은 다른 디파이 플랫폼까지 영향을 받았나요? rsETH가 여러 디파이 서비스에서 담보 자산으로 사용됐기 때문입니다. 신뢰가 흔들리자 투자자들이 대규모로 자금을 인출하면서 Aave 등 주요 프로토콜에서도 유동성 위기가 발생했고, ‘디파이 뱅크런’ 현상으로 확산됐습니다. Q. 투자자 입장에서 앞으로 무엇을 주의해야 하나요? 단순히 기술이 안전한지뿐 아니라, 검증 구조와 설정 방식까지 확인해야 합니다. 특히 크로스체인 브릿지, 리스테이킹 토큰, 단일 검증 체계를 사용하는 프로젝트는 리스크가 높기 때문에 분산 투자와 리스크 관리가 중요합니다. TP AI 유의사항 TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.