켈프다오 해킹 자금 2930억 원 세탁…남은 동결분 회수도 불투명

2930억 원 규모의 켈프다오(Kelp DAO) 해킹 자금이 불과 6주 만에 대부분 세탁된 것으로 나타났다. 온체인 분석가들은 남은 동결 자금마저 회수하기 어려워질 수 있다고 보고 있다.

켈프다오 해킹범, 2930억 원 세탁…회수 가능성 더 낮아졌다

블록체인 데이터업체 아캄(Arkham)에 따르면, 해커로 추정되는 지갑은 탈취한 자금 가운데 약 2억2000만 달러를 이미 세탁했고, 추적 가능한 잔액은 170만 달러 수준만 남았다. 해당 공격자는 지난 4월 18일 켈프다오의 리스테이킹 이더리움(ETH) 토큰인 rsETH 11만6500개를 빼돌렸고, 이 사건은 4월 한 달간 발생한 크립토 해킹 피해액을 6억3000만 달러까지 끌어올렸다.

온체인 분석가 스펙터에 따르면 자금 세탁은 두 단계로 진행됐다. 먼저 비트코인(BTC)으로 브리징한 뒤 암호화폐 믹서 와사비를 거쳤고, 이후 이더리움(ETH)으로 다시 돌아와 토네이도 캐시를 통해 출금과 예치가 반복됐다. 이 같은 흐름은 자금 추적을 어렵게 만들고, 남아 있는 ‘미동결’ 자금의 회수 가능성도 낮춘다.

아비트럼(ARB) 보안위원회는 지난 4월 21일 추가로 7100만 달러를 동결했다. 앞서 거버넌스 제안과 미국 법원 명령에 따라 이 자금은 rsETH 회수 작업을 위해 에이브(AAVE)가 관리하는 멀티시그 지갑으로 옮겨질 예정이었다. 다만 동결 자금의 소유권을 둘러싼 심리는 뉴욕에서 이번 주 금요일 열릴 예정이다.

이번 사태는 디파이(DeFi) 보안 우려를 다시 키웠다. 켈프다오는 최근 5주간의 복구 작업 끝에 rsETH를 복원했다고 밝혔지만, 해킹 직후 솔브 프로토콜과 티드로는 더 안전한 오라클 제공업체를 찾아 체인링크(LINK)의 CCIP로 이동했다. 켈프다오 역시 이전의 레이어제로 기반 브리지에서 체인링크 CCIP로 전환했다.

레이어제로는 이번 공격이 켈프다오 구현상의 ‘단일 장애점’에서 비롯됐다고 반박했다. 다만 대규모 자금 세탁이 이미 상당 부분 이뤄진 만큼, 시장에서는 단순한 해킹 사건을 넘어 디파이 인프라 전반의 구조적 취약성이 다시 드러났다는 평가가 나온다.

---

기사요약 by TokenPost.ai

🔎 시장 해석
이번 켈프다오 해킹은 단순한 보안 사고를 넘어, 디파이 인프라 전반의 구조적 취약성을 다시 드러낸 사건이다. 특히 브리지와 믹서 활용을 통한 자금 세탁 속도가 매우 빠르게 진행되면서, 기존의 온체인 추적 및 자산 회수 모델이 한계에 직면했음을 보여준다. 시장에서는 “해킹 이후 대응”보다 “사전 설계 안정성”이 훨씬 중요하다는 인식이 강화되고 있다.

💡 전략 포인트
- 크로스체인 브리지 사용 시 단일 장애점(SPOF) 여부 확인 필요
- 대형 해킹 발생 시 토큰 가격 및 유동성 급변 가능성 고려
- 체인링크 CCIP 등 검증된 인프라 채택 프로젝트에 주목
- 온체인 추적 가능성이 낮은 자산은 회수 기대보다 리스크 관리 우선

📘 용어정리
- rsETH: ETH를 재예치(restaking)하여 추가 수익을 얻기 위해 발행된 파생 토큰
- 믹서(Mixer): 거래 기록을 섞어 자금 흐름 추적을 어렵게 만드는 서비스 (예: Wasabi, Tornado Cash)
- 브리지(Bridge): 서로 다른 블록체인 간 자산 이동을 지원하는 기술
- CCIP: 체인링크가 제공하는 크로스체인 상호운용 프로토콜
- 단일 장애점(SPOF): 하나의 실패 지점이 전체 시스템 붕괴로 이어지는 구조적 취약성

💡 자주 묻는 질문 (FAQ)

Q. 이번 Kelp DAO 해킹에서 왜 자금 회수가 어려워진 건가요? 해커가 훔친 자산을 여러 체인으로 이동시키고, Wasabi와 Tornado Cash 같은 믹서 서비스를 활용해 거래 기록을 섞었기 때문입니다. 이런 방식은 자금 흐름의 연결고리를 끊어 추적을 매우 어렵게 만들며, 결과적으로 회수 가능성을 크게 낮춥니다. Q. 동결된 7,100만 달러는 피해자들에게 돌아갈 수 있나요? 현재 해당 자금은 아비트럼 보안위원회에 의해 동결된 상태이며, Aave의 멀티시그 지갑으로 이동해 복구에 사용될 예정입니다. 다만 최종적으로 누가 자금을 받을지는 뉴욕 법원의 판단에 따라 결정되기 때문에, 실제 반환까지는 시간이 걸릴 수 있습니다. Q. 이번 사건이 디파이 투자자들에게 주는 가장 큰 교훈은 무엇인가요? 수익률뿐 아니라 인프라 안정성이 핵심이라는 점입니다. 특히 브리지, 오라클, 스마트컨트랙트 설계에서 단일 실패 지점이 존재하면 대형 사고로 이어질 수 있습니다. 따라서 투자 시 기술 구조와 보안 설계까지 함께 검토하는 것이 중요합니다. TP AI 유의사항 TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.