에이브, rsETH 브리지 취약점 직격탄…최대 2억3000만달러 손실 우려

에이브(AAVE)가 ‘브리지 취약점’으로 발생한 rsETH 사태의 직격탄을 맞으며 최대 2억3천만달러(약 3,385억원) 규모 손실 위험에 노출됐다.

에이브 랩스와 리스크 분석 업체 라마리스크가 거버넌스 포럼에 공개한 보고서에 따르면, 이번 사건은 켈프다오(KelpDAO)가 발행한 유동 리스테이킹 토큰 ‘rsETH’와 레이어제로(LayerZero) 기반 브리지 구조에서 비롯됐다. 해당 구조는 한 체인에서 토큰을 잠그고, 다른 체인에서 동일한 자산을 발행하는 방식이다.

공격자는 이 과정에서 ‘위조된 전송 메시지’를 만들어 시스템을 속였다. 실제 자산 이동 없이도 유효한 전송으로 인식되면서, 이더리움(ETH) 측 브리지에서 11만6,500개의 rsETH가 무단 생성됐다. 결과적으로 담보 없이 새로운 토큰이 발행된 셈이다.

공격자는 해당 자산을 즉시 매도하지 않고, 8만9,567 rsETH를 에이브(AAVE)에 담보로 예치했다. 이후 이더리움과 아비트럼(ARB) 등에서 약 1억9,000만달러(약 2,796억원) 규모의 자산을 대출받았다. 문제는 이 담보가 실제 가치보다 부풀려졌을 가능성이 크다는 점이다.

에이브 측은 신속히 대응에 나섰다. 사고 발생 수 시간 내 rsETH 마켓을 전면 중단하고, 담보 인정 비율(LTV)을 0으로 낮췄으며 신규 대출도 차단했다.

향후 손실 규모는 켈프다오의 대응 방식에 따라 달라질 전망이다. 모든 rsETH 보유자에게 손실을 분산할 경우 약 15% ‘디페깅’이 발생하며, 에이브의 부실채권은 약 1억2,400만달러(약 1,826억원) 수준으로 추산된다. 반면 특정 레이어2 네트워크로 손실이 집중될 경우, 최대 2억3,000만달러까지 확대될 수 있으며 아비트럼과 멘틀(MNT)에서 충격이 클 것으로 보인다.

이번 사태의 핵심은 레이어제로 자체 해킹이 아닌, 크로스체인 메시지 검증 과정의 ‘설계 취약점’이다. 공격자는 검증 구조의 허점을 이용해 실제보다 담보가 충분한 것처럼 속였고, 이를 통해 시스템에서 자산을 추출했다.

이 여파로 에이브 내 일부 포지션은 ‘실질 담보가 없는 상태’가 될 수 있다는 우려가 확산됐다. 사용자들은 빠르게 자금을 회수했고, 사건 이후 약 60억달러 규모의 총예치자산(TVL)이 빠져나갔다.

이번 사건은 디파이(DeFi) 생태계가 외부 프로토콜과 얼마나 긴밀히 연결돼 있는지, 그리고 그 연결이 얼마나 큰 리스크로 이어질 수 있는지를 드러냈다. 담보 신뢰도, 대출 안정성, 유동성 모두가 동시에 흔들릴 수 있다는 점에서 구조적 취약성이 재확인됐다.

에이브 DAO 재무부는 현재 약 1억8,100만달러 규모 자산을 보유 중이며, 손실 대응 방안을 두고 생태계 참여자들과 협의가 진행 중이다. 다만 켈프다오 측은 아직 구체적인 손실 분배 방안을 밝히지 않은 상태로, 최종 손실 규모는 여전히 불확실하다.

💡 자주 묻는 질문 (FAQ)

Q. 이번 사건에서 실제 문제는 해킹인가요, 설계 오류인가요?

Q. 왜 Aave까지 큰 피해를 입게 된 건가요?

Q. 투자자 입장에서 이번 사건이 주는 가장 큰 교훈은 무엇인가요?

TP AI 유의사항 TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.