2026년 최대 DeFi 해킹 사건, 해커가 Aave를 손쉽게 털어갔다

저자：小饼，심조 TechFlow

4월 18일 저녁 17:35 (UTC), Tornado Cash로 세탁된 지갑이 LayerZero의 EndpointV2 계약에 크로스 체인 메시지를 발송했습니다.

이 메시지의 의미는 간단합니다: 특정 체인의 사용자가 rsETH를 이더리움 메인넷으로 되돌리고 싶어합니다. LayerZero는 프로토콜 설계에 따라 지시를 충실히 전달했습니다. Kelp DAO가 메인넷에 배포한 브릿지 계약도 설계에 따라 충실히 실행했습니다.

116,500개의 rsETH가 당시 가격으로 약 2.92억 달러에 해당하는 금액이 공격자가 제어하는 주소로 한 번의 거래로 전송되었습니다.

문제는, 다른 체인에는 이 rsETH를 보관한 사람이 전혀 없었다는 것입니다. 이 "크로스 체인 요청"은 허공에서 위조된 것이며, LayerZero는 이를 믿었고, Kelp의 브릿지도 이를 믿었습니다.

46분 후, Kelp의 긴급 다중 서명이 일시 정지 버튼을 눌렀습니다. 이때 공격자는 이미 행동의 후반부를 완료하고, 훔친 본질적으로 무담보인 rsETH를 Aave V3에 담보로 제공하여 약 2.36억 달러의 wETH를 빌렸습니다.

이는 2026년 현재까지 최대 규모의 DeFi 도난 사건으로, 4월 1일 북한 배경의 해커 공격을 받은 Drift 프로토콜보다 몇 백만 달러 더 많지만, 업계의 등골을 오싹하게 만든 것은 금액만이 아닙니다.

공격이 어떻게 발생했는가: 17:35부터 18:28까지의 세 번의 베팅

시간대를 복원해 보겠습니다.

17:35 UTC, 첫 번째 성공. 공격자는 LayerZero EndpointV2 계약의 lzReceive 함수를 호출하여, Tornado Cash 자금으로 지원된 지갑이 Kelp의 브릿지 계약에 위조된 크로스 체인 데이터 패킷을 전달했습니다. 계약 검증이 통과되었고, 116,500개의 rsETH가 공격자의 주소로 해제되었습니다. 단일 거래. 깨끗합니다.

18:21 UTC, Kelp의 긴급 일시 정지 다중 서명이 메인넷과 여러 L2의 rsETH 핵심 계약을 동결했습니다. 공격 발생 후 46분이 지났습니다.

18:26과 18:28 UTC, 공격자는 다시 두 번의 시도를 했으며, 매번 40,000개의 rsETH(약 1억 달러)를 다시 인출하려는 LayerZero 데이터 패킷을 가지고 있었습니다. 두 번 모두 revert 되었고, 계약은 이미 동결되었지만, 공격자는 분명히 남은 유동성을 함께 빼내려 시도하고 있었습니다.

첫 번째 성공부터 Kelp가 공개 성명을 발표하기까지 거의 세 시간이 걸렸습니다.

Kelp의 첫 번째 X 게시물은 20:10 UTC에 발송되었으며, 표현이 매우 절제되어 있었습니다: rsETH와 관련된 의심스러운 크로스 체인 활동을 발견했으며, 메인넷과 여러 L2의 rsETH 계약을 일시 정지하고, LayerZero, Unichain, 감사자 및 외부 보안 전문가와 협력하여 근본 원인 분석을 진행 중입니다.

하지만 공식 성명보다 먼저 결론을 내린 것은 ZachXBT로, 체인 분석가는 미 동부 시간 오후 3시 전에 자신의 텔레그램 채널에서 경고를 발송하며 이번 도난과 관련된 여섯 개의 지갑 주소를 나열하고, 공격 지갑이 행동을 시작하기 전에 Tornado Cash를 통해 자금 준비를 했다고 지적했습니다. 그는 Kelp DAO를 직접 언급하지 않았지만, 체인 분석가는 몇 시간 만에 주소를 연결했습니다.

이는 사전 계획된, 분 단위로 실행된 작업이었습니다. 사전 충전된 세탁된 자금 지갑, 정교하게 구성된 크로스 체인 데이터 패킷, Aave 담보 대출과의 연속적인 행동, 각 단계가 마치 박자에 맞춰 진행된 것처럼 보였습니다.

훔친 후에도 또 한 번의 함정

단순히 브릿지 취약점으로 116,500개의 rsETH를 훔치고 도망쳤다면, 이 사건은 2026년의 큰 사고로 끝났을 것입니다. Kelp는 손실을 감수하고, 커뮤니티는 며칠 동안 소화하고, 업계는 계속 나아갔을 것입니다.

하지만 공격자는 분명히 계산을 했습니다. rsETH 자체의 2차 유동성이 풍부하지 않기 때문에, 2.92억 달러를 DEX에 던져서 매도하면 슬리피지가 상당 부분의 이익을 잠식할 것입니다. 더 우아한 출구 방식은 이 "허공에서 얻은 rsETH"를 포장하여, 대출 프로토콜에서 실제로 유동성이 있는 자산을 빌리는 것입니다.

그래서 공격자는 두 번째 단계를 수행했습니다: 훔친 rsETH를 Aave V3에 담보로 예치하고, 대량의 wETH를 빌렸습니다.

이 단계가 왜 치명적인가요? Aave 계약이 그 순간 rsETH의 오라클 가격에 따라 담보 가치를 계산하고 있었고, 브릿지의 준비금은 이미 소진되었기 때문에, 이 rsETH의 경제적 기반은 사실상 존재하지 않았습니다. 대출 프로토콜은 여전히 "100% 가치" 기준으로 대출을 발급하고 있었지만, 담보는 빈 수표에 불과했습니다.

결과적으로: 공격자는 자금을 현금화하는 위험을 Aave의 wETH 준비금 풀에 전가했습니다.

Aave V3의 wETH 준비금은 현재 부실 채권을 소화하고 있으며, Solidity 개발자이자 감사자 0xQuit은 X에서 예치자에게 wETH 풀이 실제로 손상되었으며, 일부 인출은 Aave의 Umbrella 백업 모듈이 적자를 정산한 후에야 회복될 수 있다고 경고했습니다.

부실 채권 규모는 최신 추정치로 1.77억 달러에 달하며, 이는 이더리움 메인넷 측에만 해당합니다.

예언된 첫 번째 대시험

DeFi의 오래된 플레이어에게는 이 부분이 익숙한 느낌을 줍니다. 2022년 Luna 붕괴 당시 Aave V2의 Safety Module도 비슷한 역할을 했습니다.

하지만 이번에 등장한 것은 Umbrella입니다. Aave는 2025년 말에 구형 Safety Module을 대체하기 위해 새로운 세대의 백업 시스템을 출시했으며, 이번 사건은 Umbrella 자동 부실 채권 커버 메커니즘의 첫 번째 주요 실전 압력 테스트입니다.

Umbrella의 논리는 매우 직관적입니다: aWETH, aUSDC, GHO와 같은 aToken을 해당 Umbrella 보험금고에 스테이킹하여 평소에는 추가 인센티브를 얻지만, 해당 자산 풀이 적자를 보일 경우 이 부분의 스테이킹이 비율에 따라 슬래싱(감소)되어 구멍을 메우는 것입니다.

이 설계는 장부상으로 매우 아름답습니다. Aave v3.3이 운영된 첫 달에, 전체 풀의 누적 적자는 약 400달러로, 약 95억 달러의 미상환 대출에 해당하며, 비율이 거의 무시할 수 있을 정도로 작습니다.

하지만 1.77억 달러의 부실 채권은 또 다른 차원입니다. Umbrella에 aWETH를 스테이킹한 사용자들은 "슬래싱 위험을 감수해야 한다"는 문구의 무게를 처음으로 진정으로 느끼게 될 것입니다. Aave의 공식 입장은 매우 신중합니다: 부실 채권이 발생할 경우, Aave는 Umbrella 자산을 사용하여 모든 재정적 결손을 메울 계획입니다. 그러나 완전히 커버할 수 있는지, 슬래싱 비율이 얼마나 높은지, 스테이킹자의 원금 손실이 얼마나 되는지는 정산이 완료된 후에야 숫자를 제시할 수 있습니다.

크로스 체인 브릿지의 원죄

더욱 불안한 것은 이 도난당한 rsETH의 정체입니다.

rsETH는 Base, Arbitrum, Linea, Blast, Mantle, Scroll을 포함한 20개 이상의 네트워크에 배포되어 있으며, 크로스 체인 흐름은 LayerZero의 OFT 표준에 의해 처리됩니다. 비워진 브릿지의 rsETH는 이러한 네트워크에서 모든 "랩핑된" rsETH의 준비금을 지탱하고 있습니다.

이 설계는 처음 듣기에는 매우 일반적입니다: 메인넷 금고가 1:1 준비금을 보유하고 있으며, L2의 rsETH 보유자는 이론적으로 언제든지 메인넷으로 돌아가서 상환할 수 있습니다. 그러나 이 메커니즘의 전제는, 금고에 정말로 돈이 있어야 한다는 것입니다.

현재 금고는 18% 비어 있습니다. Kelp의 rsETH 순환 공급 총량 중 약 18%의 비율이 하룻밤 사이에 해당 준비금을 잃었습니다.

이로 인해 피드백 루프가 발생했습니다: L2의 보유자가 공황 상태에서 상환을 시도하면, 압력이 영향을 받지 않은 이더리움 공급 측으로 전달되어 Kelp가 인출 요청을 충족하기 위해 재스테이킹 포지션을 해제해야 할 수도 있습니다.

재스테이킹 해제는 버튼 하나로 해결되는 일이 아닙니다. EigenLayer의 철회에는 지연 기간이 있으며, 기본 validator의 퇴출에는 대기 기간이 있습니다. L2의 rsETH 보유자가 집단적으로 상환 창구로 몰려들 경우, Kelp는 메인넷의 상환 자금을 준비할 시간조차 없을 수 있습니다.

이는 브릿지 준비금 모델의 근본적인 위험입니다: 메인넷이라는 하나의 저수지가 문제가 생기면, 하류의 모든 분기에서 물 압력이 무너집니다. 각 L2의 rsETH 보유자는 지금 같은 문제를 풀고 있습니다. 먼저 도망칠 것인가, 아니면 Kelp가 보증할 수 있다고 믿을 것인가?

공황은 몇 시간 안에 전체 DeFi 대출 부문을 휩쓸었습니다.

Aave V3와 V4의 rsETH 시장이 동결되었고, 새로운 예치금과 rsETH 기반 대출 경로가 차단되었습니다.

SparkLend와 Fluid는 rsETH 시장을 동결했습니다.

Ethena는 rsETH 노출이 없고 101% 이상의 초과 담보를 유지하고 있다고 발표했지만, 예방 조치로 이더리움 메인넷에서 출발하는 LayerZero OFT 브릿지를 약 6시간 동안 일시 정지했습니다. 이 반응은 매우 흥미롭습니다: 직접적인 노출이 없는 플레이어도 LayerZero 관련 브릿지를 중단하고 있습니다.

Lido Finance는 rsETH 노출이 포함된 earnETH 제품에 대한 신규 예치를 중단했으며, stETH와 wstETH는 영향을 받지 않는다고 강조했습니다. Lido의 핵심 스테이킹 프로토콜은 이번 사건과 무관합니다.

Upshift는 High Growth ETH와 Kelp Gain 금고의 입출금을 중단했습니다.

이 목록은 계속 길어지고 있습니다.

심조 논평: DeFi 안전은 여전히 멀고도 험하다

이 글이 작성되는 시점에서 Kelp DAO의 근본 원인 분석이 여전히 진행 중입니다. 도난당한 rsETH 중 얼마나 많은 금액이 보안 팀이나 화이트 해커와의 협상으로 회수될 수 있을까요? Aave의 Umbrella가 이번 부실 채권을 견딜 수 있을까요? L2의 rsETH 보유자가 도산을 촉발할까요? AAVE와 rsETH의 가격이 주말이 끝나기 전에 안정될 수 있을까요?

하지만 몇 가지 문제는 이미 드러났습니다.

예를 들어, LRT가 계속해서 대출 프로토콜의 적격 담보가 될 수 있을까요?

Liquid Restaking Token(유동성 재스테이킹 토큰)은 지난 주기 동안 이더리움 생태계의 애완동물이었습니다. EigenLayer는 "하나의 ETH로 다층 수익을 얻는" 서사를 시작했으며, Kelp, ether.fi, Puffer 등의 프로토콜이 이 서사를 산업화했습니다. 최종 결과는: LRT가 각 대출 프로토콜에 구조적 자산으로 담보 목록에 포함되었습니다.

이 결정은 하나의 가정에 기반하고 있습니다: LRT의 고정 메커니즘이 충분히 견고하며, 기본 자산의 다층 중첩 위험이 스마트 계약 수준에서 충분히 모델링되고 격리될 수 있다는 것입니다.

Kelp 사건은 단 하루 만에 이 가정에 큰 구멍을 내었습니다. LRT의 위험은 단순히 기본 스마트 계약에서 오는 것이 아니라, 그것의 크로스 체인 배포 구조에서도 비롯됩니다; 단일 프로토콜에서 오는 것이 아니라, EigenLayer, LayerZero, Aave 간의 모든 의존 관계에서 발생합니다. DeFi 레고의 각 블록은 개별적으로 안전해 보이지만, 그것들이 조합될 때의 위험은 더해지는 것이 아니라 곱해집니다.

앞으로 몇 달 동안, LRT를 여전히 고급 담보로 간주하는 모든 대출 프로토콜은 위험 매개변수를 재평가해야 할 것입니다. 공급 한도는 줄어들고, 청산 완충은 늘어날 것이며, 일부 프로토콜은 직접적으로 상장 폐지될 수 있습니다.

DeFi의 성벽은 항상 "조합 가능성"이라고 불려왔지만, 이번 사건은 모두에게 상기시킵니다: 조합 가능성은 양날의 검입니다. 당신이 자랑스럽게 여기는 네트워크 효과는 공격자의 손에선 증폭기입니다.

이번 공격자는 사전에 퇴출 경로를 계획해 두었으며, 단순한 도난이 아니라 DeFi의 조합 가능성을 무기로 사용했습니다. 프로토콜 간의 의존 관계가 긴밀해질수록, 조합 가능성이 풍부해질수록, 공격자의 공격 면은 넓어지고, 그들이 호출할 수 있는 금융 레고도 많아집니다.

DeFi의 안전은 여전히 멀고도 험합니다.