TechFlow 보도에 따르면, 5월 2일 Forbes는 최근 DeFi 산업이 사상 최악의 손실을 기록한 달을 겪었다고 전했다. 불과 3주 미만의 기간 동안 12개 프로토콜이 6.06억 달러 이상을 해킹당했다. 이 중 Drift 해킹 사건으로 2.85억 달러, Kelp DAO 해킹 사건으로 2.92억 달러가 유출되었으며, 두 건의 공격이 전체 손실의 약 95%를 차지했다.
Solana 기반 최대 탈중앙화 영구선물거래소인 Drift가 공격을 받았다. 사건 분석 보고서에 따르면 이번 공격은 ‘6개월간 계획되었다’고 하며, 중간 수준의 신뢰도로 북한 정부 후원 해커 조직에 의한 것으로 추정된다. 공격자는 양적 거래 회사로 위장해 프로토콜 기여자들과 신뢰 관계를 구축한 후, Solana의 ‘내구성 있는 논스(durable nonces)’ 기능을 악용하여 보안 위원회 구성원들이 일상적인 거래처럼 보이는 트랜잭션에 사전 서명하도록 유도했다. Drift는 시간 잠금(time lock) 기능을 제거하고 5명 중 2명의 다중 서명(2-of-5 multi-sig) 체제로 전환한 후, 공격자가 가상 자산인 CarbonVote 토큰을 담보로 도입함으로써 프로토콜의 보안 메커니즘을 우회했다. 해당 프로토콜은 올해 2월에 가장 최근의 감사를 실시했으며, 이번 취약점은 스마트 계약 코드 자체의 문제가 아니라, 장비 해킹 및 서명자 조작 등 인간 요인에서 비롯된 것이다.
Kelp DAO에 대한 공격은 프로토콜 외부 인프라를 표적으로 삼았다. 이 프로토콜은 LayerZero 기반 크로스체인 브리지를 사용하며, 검증자 설정이 1-of-1 형태였다. 공격자는 RPC 노드를 해킹해 데이터를 조작함으로써 브리지가 rsETH 116,500개를 방출하게 했는데, 이는 해당 토큰 유통 공급량의 약 18%에 해당한다. 유출된 rsETH는 이후 Aave에 담보로 예치되어 대출을 받았고, 이로 인해 Compound 및 Euler 등 주요 대출 시장으로 리스크가 확산되었다. 이틀 만에 DeFi 전체 잠금 가치(TVL)는 130억 달러 이상 감소했으며, Aave는 rsETH 관련 부실 채권 약 2.46억 달러를 부담하게 되었다. 업계는 이후 ‘DeFi United’ 협력 이니셔티브를 발족해, 영향을 받은 시장 안정화를 위해 3억 달러 이상을 모금했다.
카라페티안 프라이빗 캐피탈(Karapetian Private Capital)의 마랏 카라페티안(Marat Karapetian)은 “2026년 상황이 시장을 충격에 빠뜨렸다. 투자자들은 이제 DeFi 구조의 체계적 취약성을 인식하게 되었다”고 평가했다.
