Kelp DAO 해킹의 피해는 도난된 2억 9,200만 달러에서 멈추지 않았다. 24시간도 채 되지 않아 충격파가 DeFi 최대 대출 프로토콜 Aave를 강타했다. ETH 54억 달러 이상이 풀에서 빠져나갔다. 이용률은 100%까지 치솟았다. AAVE는 20% 급락했고, LayerZero의 ZRO 토큰은 거의 30% 떨어졌다. 기술적 결함이 아니다 — 뱅크런이다.
왜 54억 달러 ETH가 Aave를 떠났나
Kelp DAO 공격자는 단순히 rsETH 브릿지를 비운 것이 아니었다. 훔친 rsETH를 Aave V3와 V4에 담보로 예치해 실제 ETH를 대출받았다. 결과적으로 기초자산을 잃은 자산으로 담보된 약 2억 3,600만 달러의 부실채권(bad debt)이 발생했다.
Lookonchain 데이터는 냉혹하다 — 54억 달러 이상의 ETH가 Aave WETH 풀에서 유출됐고, 이용률 100% 달성으로 신규 출금이 사실상 막혔다. Aave 창업자 Stani Kulechov는 X를 통해 프로토콜 자체 컨트랙트는 침해되지 않았음을 확인했다. 익스플로잇은 외부에서 발생했다. 하지만 신뢰는 무너졌다.
Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.
— Kelp (@KelpDAO) April 18, 2026
We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.
We will keep you…
Justin Sun 선두: 단 한 번의 거래로 1억 5,400만 달러 철수
트론(Tron) 창업자 Justin Sun이 가장 먼저 움직였다. 65,584 ETH를 단번에 출금 — 1억 5,400만 달러 이상이다. 수십 개의 고래 지갑이 뒤따랐다. 자본 대부분은 Spark으로 이동했고, 상당 부분은 콜드 스토리지로 향했다. 업비트·빗썸 등 국내 거래소에서도 AAVE 거래량이 급증했다.
가격 연쇄 반응:
- AAVE: 115달러 → 91.89달러 (-20%, 수 시간 내)
- ZRO (LayerZero): 최대 -30% 후 부분 회복
- KERNEL (Kelp 생태계): -11%
- ETH: 2,300달러 핵심 지지선 재테스트
부실채권과 DeFi 컴포저빌리티의 함정
문제의 본질은 구조적이다. rsETH는 Aave뿐 아니라 Compound와 Euler에서도 담보 자산으로 화이트리스트에 올라 있었다 — 해당 토큰이 완전히 담보된 상태를 유지한다는 전제하에. 그 전제가 무너졌다. Aave의 Umbrella 안전망이 이론상 일부 손실을 흡수할 수 있지만, 팀의 공식 입장은 몇 시간 만에 "Umbrella를 사용할 것"에서 "결손을 어떻게 메울지 검토할 것"으로 바뀌었다. 한국의 가상자산이용자보호법(2024년 시행) 맥락에서, 이번 사태는 국내 투자자가 해외 DeFi 프로토콜의 리스크를 얼마나 면밀히 검토해야 하는지 보여주는 사례다.
DeFi의 컴포저빌리티가 어떻게 최대 약점이 되는지 더 깊이 이해하려면, DeFi 2026 투자 논제 분석을 참고하라 — 단일 실패 지점이 어떻게 연결된 프로토콜 전체로 퍼지는지 구체적으로 다룬다.
향후 48시간 주요 모니터링 포인트
리퀴드 리스테이킹 전체 섹터가 검증대에 올랐다. Kelp는 Ether.fi에 이어 EigenLayer 생태계의 두 번째 대형 플레이어 — TVL 타격이 리스테이킹 전체 내러티브에 압력을 가한다. 대출 프로토콜들은 이미 모든 LRT에 대한 리스크 파라미터를 재검토 중이다.
DeFi는 컴포저빌리티 덕분에 강력하다. 하지만 첫 번째 블록이 무너지면, 그 컴포저빌리티가 연결된 모든 프로토콜을 도미노로 만든다. Aave의 이번 주말이 그것을 증명한다. "Aave는 안전하다"는 말 하나로 리스크 분석을 끝냈던 이들이 지금 그 대가를 치르고 있다.
