2026년 최대 규모의 DeFi 해킹 사건: 해커가 자산을 훔친 후 바로 Aave를 공격
글쓴이: 샤오빙, TechFlow
4월 18일 오후 5시 35분(UTC), 토네이도 캐시(Tornado Cash)를 통해 자금을 세탁한 지갑이 레이어제로(LayerZero)의 EndpointV2 컨트랙트에 크로스체인 메시지를 전송했다.
이 메시지의 의미는 단순하다: 특정 체인에서 사용자가 rsETH를 이더리움 메인넷으로 다시 전송하고 싶다는 요청이다. 레이어제로는 프로토콜 설계에 따라 이 명령을 충실히 전달했고, 메인넷에 배포된 켈프 DAO(Kelp DAO)의 브리지 컨트랙트 역시 설계대로 rsETH의 해제를 정확히 실행했다.
결과적으로 116,500개의 rsETH가 당시 시세로 약 2억 9,200만 달러 상당이 한 번의 트랜잭션으로 공격자 소유 주소로 전송되었다.
문제는 다른 체인에 이 rsETH가 전혀 입금된 바 없다는 점이다. 이 ‘크로스체인 요청’은 완전히 조작된 것이었으며, 레이어제로는 이를 신뢰했고, 켈프 브리지도 이를 신뢰했다.
공격 발생 후 46분 만에야 켈프의 긴급 멀티시그가 일시 중단 버튼을 눌렀다. 그러나 그때 이미 공격자는 작업의 후반부를 완료해, 훔친—본질적으로 앵커링되지 않은—rsETH를 Aave V3에 담보로 제공하여 약 2억 3,600만 달러 상당의 wETH를 차입했다.
이는 2026년 현재까지 최대 규모의 디파이(DeFi) 해킹 사건으로, 4월 1일 북한 계열 해커가 공격한 드리프트(Drift) 프로토콜보다 수백만 달러 더 큰 규모다. 그러나 업계 관계자들의 등골을 오싹하게 만든 것은 단순한 피해 규모가 아니다.
공격은 어떻게 발생했나: 17:35부터 18:28까지 세 차례의 시도
시간 흐름을 재구성해 보자.
17:35 UTC, 첫 번째 성공. 공격자는 레이어제로 EndpointV2 컨트랙트의 lzReceive 함수를 호출했고, 토네이도 캐시를 통해 자금을 세탁한 지갑이 켈프 브리지 컨트랙트로 위조된 크로스체인 데이터 패킷을 전송했다. 컨트랙트는 검증을 통과했고, 116,500개의 rsETH가 공격자 주소로 해제되었다. 단일 트랜잭션, 깔끔함.
18:21 UTC, 켈프의 긴급 멀티시그가 메인넷 및 여러 L2 체인의 rsETH 핵심 컨트랙트를 일시 중단시켰다. 공격 발생 후 46분 만이다.
18:26 및 18:28 UTC, 공격자는 추가로 두 차례 시도를 진행했는데, 각각 40,000개의 rsETH(약 1억 달러 상당)를 다시 인출하려는 레이어제로 데이터 패킷을 포함했다. 두 번 모두 리버트(revert)되었으며, 컨트랙트는 이미 동결된 상태였지만, 공격자는 여전히 남은 유동성을 한 번에 탈취하려 했다는 점이 분명하다.
첫 번째 성공에서 켈프의 공식 발표까지는 거의 3시간이 걸렸다.
켈프의 첫 번째 X(X, 구 트위터) 게시물은 20:10 UTC에야 등장했는데, 어조는 매우 절제되어 있었다: “rsETH 관련 의심스러운 크로스체인 활동을 발견했으며, 메인넷 및 여러 L2 체인의 rsETH 컨트랙트를 일시 중단했습니다. 현재 레이어제로, 유니체인(Unichain), 감사 기관 및 외부 보안 전문가와 협력하여 근본 원인 분석을 진행 중입니다.”
하지만 공식 발표보다 먼저 결론을 내린 사람은 ZACHXBT였다. 체인상 탐정인 그는 미국 동부 시간 오후 3시 이전 자신의 텔레그램 채널에서 경고를 발송하며 이번 도난과 관련된 6개 지갑 주소를 공개했고, 공격 지갑이 행동 개시 전 토네이도 캐시를 통해 자금을 준비했다고 지적했다. 그는 켈프 DAO를 직접 언급하진 않았으나, 체인상 분석가들은 몇 시간 만에 주소 간 연결 고리를 찾아냈다.
이것은 계획적이고, 분 단위로 정밀하게 실행된 조작이었다. 사전 충전 및 자금 세탁이 완료된 지갑, 정교하게 구성된 크로스체인 데이터 패킷, 그리고 공격과 Aave 담보 대출 사이의 연속적인 동작—모든 단계가 마치 메트로놈에 맞춰 움직이는 듯했다.
훔친 다음에는 또 한 번 속이기
단순한 브리지 취약점을 이용해 116,500개의 rsETH를 훔쳐 달아나는 것이라면, 이 사건은 2026년의 단순한 대규모 사고 수준에 머무를 것이다. 켈프가 손실을 부담하고, 커뮤니티가 며칠간 이를 소화하며, 업계는 계속 나아갈 뿐이다.
그러나 공격자는 분명히 계산을 해봤다. rsETH 자체의 2차 시장 유동성은 그리 풍부하지 않다. 2억 9,200만 달러 규모의 rsETH를 DEX에서 즉시 매도하면 슬리피지(slipage)로 인해 상당 부분의 이익이 사라질 것이다. 훨씬 우아한 현금화 방식은, 이 ‘공중에서 창조된 rsETH’를 보기 좋게 포장해, 신용도 높은 담보 자산처럼 보이게 한 다음, 대출 프로토콜에서 실제로 유동성이 높은 자산을 차입하는 것이다.
그래서 공격자는 두 번째 단계를 실행했다: 훔친 rsETH를 Aave V3에 담보로 예치하고, 대량의 wETH를 차입했다.
이 단계가 왜 치명적인가? 당시 Aave 컨트랙트는 rsETH의 오라클 가격을 기준으로 담보 가치를 산정하고 있었고, 브리지 내 예비 자산은 이미 고갈된 상태였다. 즉, 이 rsETH의 경제적 기반이 사실상 존재하지 않게 된 것이다. 대출 프로토콜은 여전히 ‘순금 함량 100%’라는 기준으로 대출을 승인하고 있었지만, 담보는 이미 공문서에 불과했던 것이다.
그 결과는 다음과 같다: 공격자는 자금 실현 위험을 Aave의 wETH 예비 자산 풀로 전가시켰다.
Aave V3의 wETH 풀은 현재 불량채권을 처리 중이며, 솔리디티 개발자이자 감사 전문가인 0xQuit은 X에서 예치자들에게 wETH 풀이 실제로 이미 손상되었음을 경고했다. 일부 인출은 Aave의 언브렐라(Umbrella) 백업 모듈이 적자를 정산한 후에야 가능할 수 있다고 설명했다.
불량채권 규모는 최신 추정치로 1억 7,700만 달러 수준이며, 이는 이더리움 메인넷 측만의 수치이다.
예견된 첫 번째 대형 시험
디파이 베테랑 플레이어에게는 이 장면이 익숙한 느낌을 준다. 2022년 루나(Luna) 붕괴 당시 Aave V2의 세이프티 모듈(Safety Module)도 비슷한 역할을 맡았다.
하지만 이번에는 언브렐라(Umbrella)가 등장한다. Aave는 2025년 말, 구세이프티 모듈을 대체하기 위해 새롭게 도입한 차세대 백업 시스템이며, 이번 사건은 언브렐라의 자동 불량채권 보전 메커니즘이 처음으로 겪는 중대한 실전 압력 테스트이다.
언브렐라의 논리는 매우 직관적이다: aWETH, aUSDC, GHO 등의 aToken을 해당 언브렐라 보험고에 스테이킹하면 평소 추가 인센티브를 얻을 수 있으나, 해당 자산 풀에 적자가 발생할 경우, 이 스테이킹 자산은 비율에 따라 슬래싱(slashing)되어 적자를 메우는 데 사용된다.
이 설계는 계정상으로는 매우 아름답다. Aave v3.3이 운영된 첫 달 동안 전체 풀 누적 적자는 약 400달러였고, 미상환 대출 잔액은 약 95억 달러에 달해, 비율은 거의 무시할 수 있을 정도로 작았다.
하지만 1억 7,700만 달러의 불량채권은 완전히 다른 차원의 규모이다. 언브렐라에 aWETH를 스테이킹한 사용자들로서는, ‘슬래싱 위험 부담’이라는 문구가 얼마나 무거운지를 이제야 진정으로 느끼게 될 것이다. Aave 공식 입장은 신중하다: 불량채권이 발생할 경우, Aave는 언브렐라 자산을 활용해 재정적 적자를 메우려 한다. 그러나 이를 완전히 보전할 수 있는지, 슬래싱 비율이 얼마인지, 스테이킹자의 원금 손실 규모는 정산이 완료된 후에야 구체적인 수치를 제시할 수 있다.
크로스체인 브리지의 원죄
더 걱정스러운 것은 훔친 rsETH의 정체성이다.
rsETH는 베이스(Base), 아비트럼(Arbitrum), 라이네아(Linea), 블라스트(Blast), 맨틀(Mantle), 스크롤(Scroll)을 포함한 20여 개 네트워크에 배포되어 있으며, 크로스체인 이동은 레이어제로의 OFT(Oracle-Managed Token) 표준에 의해 처리된다. 털린 브리지의 rsETH는 바로 이 모든 네트워크 상의 ‘wrapping된’ rsETH를 뒷받침하는 예비 자산이다.
이 설계는 들어보면 매우 일반적이다: 메인넷 금고가 1:1 예비 자산을 보유하고 있으며, L2 상 rsETH 보유자는 이론적으로 언제든지 메인넷으로 환급할 수 있다. 그러나 이 메커니즘의 전제는 금고에 실제로 돈이 있어야 한다는 것이다.
현재 금고는 18% 비어 있다. 켈프의 rsETH 순환 공급량 중 약 18%가 하룻밤 사이 예비 자산을 잃어버렸다.
이는 피드백 루프를 유발한다: L2 상 보유자들이 공포에 질려 환급을 시도하면, 그 압력이 영향을 받지 않은 이더리움 공급 측으로 전달되어, 켈프가 인출 요청을 충족시키기 위해 리스테이킹 포지션을 해제해야 할 가능성도 생긴다.
리스테이킹 해제는 단순히 버튼 하나로 되는 일이 아니다. 아이겐레이어(EigenLayer)의 자금 회수는 지연 기간이 있고, 하위 검증자(validator)의 탈퇴는 대기열이 있다. 만약 L2 상 rsETH 보유자들이 집단적으로 환급 창구로 몰린다면, 켈프는 메인넷 상의 상환 자금을 확보할 시간조차 없을 수 있다.
이는 브리지 예비 자산 모델의 근본적 위험점이다: 메인넷이라는 단 하나의 저수지에 문제가 생기면, 하류의 모든 분수로의 수압이 붕괴된다. 지금 이 순간, 모든 L2 상 rsETH 보유자는 똑같은 선택지를 앞에 두고 있다. 먼저 달아날 것인가, 아니면 켈프가 책임지고 버텨줄 것이라고 믿을 것인가?
공포는 몇 시간 만에 전체 디파이 대출 부문을 휩쓸었다.
Aave V3 및 V4의 rsETH 시장이 동결되었고, 새로운 예치 및 rsETH 기반 대출 채널이 폐쇄되었다.
스파크렌드(SparkLend), 플루이드(Fluid)도 rsETH 시장을 동결시켰다.
에테나(Ethena)는 rsETH 노출이 없으며 과잉 담보율이 101%를 초과한다고 밝혔음에도, 예방 조치로 이더리움 메인넷에서 시작되는 레이어제로 OFT 브리지를 약 6시간 동안 일시 중단한다고 발표했는데, 이 반응은 매우 흥미롭다: 직접적인 노출이 없는 참여자조차 레이어제로 관련 브리지를 중단하고 있다.
리도 파이낸스(Lido Finance)는 rsETH 노출이 있는 이른(EarnETH) 제품에 대한 신규 예치를 중단했으며, stETH 및 wstETH는 영향을 받지 않았다고 강조했다. 리도의 핵심 스테이킹 프로토콜은 이번 사건과 무관하다고 덧붙였다.
업시프트(Upshift)는 하이 그로스 ETH(High Growth ETH) 및 켈프 게인(Kelp Gain) 금고의 입출금을 중단했다.
이 목록은 아직 계속 늘어나고 있다.
TechFlow 논평: 디파이 보안, 여전히 긴 여정
본 기사 집필 시점 기준, 켈프 DAO의 근본 원인 분석은 계속 진행 중이다. 훔친 rsETH 중 어느 정도를 보안팀 또는 화이트해트와의 협상을 통해 회수할 수 있을까? Aave의 언브렐라가 이번 불량채권을 버틸 수 있을까? L2 상 rsETH 보유자들이 대규모 환급을 유발할까? AAVE 및 rsETH 가격은 주말 종료 전에 안정될 수 있을까?
하지만 이미 드러난 몇 가지 질문들이 있다.
예를 들어, LRT는 여전히 대출 프로토콜의 적격 담보 자산이 될 수 있을까?
유동성 리스테이킹 토큰(Liquid Restaking Token, LRT)은 지난 주기 동안 이더리움 생태계의 애호 대상이었다. 아이겐레이어는 ‘한 개의 ETH로 다층 수익 창출’이라는 서사를 열었고, 켈프, 이더파이(ether.fi), 퍼퍼(Puffer) 등 프로토콜이 이 서사를 산업화했다. 그 결과는 다음과 같다: LRT는 주요 대출 프로토콜에 의해 구조적 자산으로 간주되어 담보 자산 화이트리스트에 포함되었다.
이 결정은 하나의 가정에 기반한다: LRT의 앵커링 메커니즘이 충분히 강건하며, 하위 자산의 다중 중첩 위험은 스마트 컨트랙트 수준에서 충분히 모델링되고 격리될 수 있다는 것이다.
켈프 사건은 단 하루 만에 이 가정을 크게 무너뜨렸다. LRT의 위험은 단순한 하위 스마트 컨트랙트에서 오는 것이 아니라, 그 크로스체인 유통 아키텍처에서도 비롯되며, 단일 프로토콜에서 오는 것이 아니라 아이겐레이어, 레이어제로, Aave 사이의 모든 의존 관계에서 비롯된다. 디파이 레고의 각 조각을 따로 보면 모두 안전하지만, 그것들이 조합된 퍼즐의 위험은 더해지는 것이 아니라 곱해지는 것이다.
앞으로 몇 달간, 여전히 LRT를 고등급 담보 자산으로 분류하는 모든 대출 프로토콜은 위험 매개변수를 재평가해야 한다. 공급 한도는 낮아질 것이며, 정산 완충은 확대될 것이고, 일부 프로토콜은 LRT를 직접 상장 폐지할 수도 있다.
디파이의 성장 동력은 늘 ‘조합성(composability)’이라 불려왔다. 그러나 이번 사건은 모든 이들에게 상기시킨다: 조합성은 양날의 검이다. 당신이 자랑스럽게 여기는 네트워크 효과는, 공격자에게는 증폭기일 뿐이다.
이번 공격자는 사전에 탈출 경로를 이미 계획해 두었다. 단순한 훔치기뿐 아니라, 디파이의 조합성을 무기로 삼았고, 프로토콜 간 의존 관계가 더 긴밀해질수록, 조합성이 풍부해질수록, 공격자의 공격 면적이 더 넓어지고, 활용 가능한 금융 레고도 더 많아진다.
디파이 보안은 여전히 긴 여정이다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
深潮TechFlow
