Aave WETH 재개 및 Kelp rsETH 95% 회수 완료

2026년 5월 18일, Aave가 6개 네트워크에서 WETH 대출을 재개했다. 위기가 끝난 것일까 그리고 거의 그렇다. 2026년 DeFi 역사상 최대 규모 익스플로잇 발생 30일 만에 언백드 rsETH의 95%가 회수됐다. 다만 3만 765 ETH. 약 7,100만 달러 상당은 여전히 Arbitrum에 동결된 채 세 당사자 간 법적 분쟁에 묶여 있다. 맨해튼 연방법원이 최종 판단을 내려야 한다. 그 사이 DeFi는 보기 드문 일을 해냈다. 국가의 개입 없이, 스스로 피해를 조율하며 복구한 것이다.

LayerZero Labs의 DVN을 지원하는 RPC 노드가 침해됐고, 침해되지 않은 노드에는 DDoS 공격이 동시에 가해졌다. 감염된 노드는 Unichain에서 허위 크로스체인 메시지를 주입해 이더리움 컨트랙트가 아무런 담보 없이 116,500 rsETH를 방출하도록 만들었다. 1-of-1 DVN 구성이라는 단일 실패 지점이 핵심 취약점이었다.

Kelp은 18:21 UTC에 핵심 컨트랙트를 중단했다. 탈취 발생 46분 후였고, 이 조치로 추가 1억 달러 규모의 공격 시도 2건이 차단됐다. Aave, SparkLend, Fluid는 rsETH 시장을 즉시 동결했다. 4월 21일에는 Arbitrum Security Council이 30,765 ETH를 동결했고. 4월 23일에는 Aave가 Lido, EtherFi, Stani Kulechov와 함께 DeFi United를 공식 출범했다.

출처: Aave Governance Forum · CoinDesk · 2026년 5월 18일

DeFi United: Lazarus가 파괴한 것을 어떻게 재건했나

사실, 익스플로잇 발생 5일 후인 4월 23일, Aave 창업자 Stani Kulechov가 직접 5,000 ETH를 기여하겠다고 발표했다. Lido Finance가 약 570만 달러 상당의 2,500 stETH로 합류했고, EtherFi는 5,000 ETH 규모의 지원 계획을 내놨다. 이 이니셔티브는 DeFi United라는 이름을 얻었다. 제도적 위임 없이 몇 주 만에 만들어진 협력 복구 펀드였다. 목표는 rsETH 부족분을 메우고 시스템 전반에 걸친 연쇄 청산을 막는 것이었다. 결과적으로 Aave Governance Forum의 데이터에 따르면 3억 2,795만 달러가 모였다. 필요 금액의 네 배다. 규제 당국이 움직이기도 전에 이 연합체는 이미 문제를 해결했다.

On April 18 at 17:35 UTC, an attacker drained 116,500 rsETH (~$292M, ~18% of circulating supply) from Kelp DAO's LayerZero-powered bridge.

$292M drained, 2026's largest DeFi hack so far.

Here's how it unfolded and what it means. 👇 https://t.co/D7i53vaj6p

, CredShields (@CredShields) April 19, 2026

5월 18일, Aave는 6개 V3 배포(Ethereum Core, Ethereum Prime, Arbitrum, Base, Mantle, Linea)에서 WETH의 대출 담보 비율(LTV)을 익스플로잇 이전 수준으로 복원했다. 공식 발표는 07:05 UTC에 X(구 트위터)를 통해 나왔다. DeFi 사용자에게 이 소식의 의미는 분명하다. 생태계에서 가장 중요한 대출 시장이 완전히 정상화됐다는 뜻이다. 6개 네트워크에서 ETH를 담보로 한 대출이 재개됐고, 한 달간 막혀 있던 레버리지 전략도 다시 가능해졌다.

Kelp DAO 익스플로잇: 피해는 누가 보상하나

다시 말해, LayerZero와 Chainalysis의 분석에 따르면 북한 라자루스(Lazarus) 그룹은 3단계 작전을 펼쳤다. 먼저 브릿지 검증자를 지원하는 RPC 노드 2개를 침해했다. 이어 침해되지 않은 노드에 DDoS 공격을 가해 오프라인으로 만들고, 이미 장악한 노드만 데이터 소스로 남겨 뒀다. 마지막으로 Unichain에서 허위 크로스체인 메시지를 주입해 이더리움 컨트랙트가 116,500 rsETH를 방출하도록 명령했다. Unichain 측에서 합법적인 트랜잭션이 발생한 것처럼 속인 것이다.

실제로 Unichain에서 유통 중인 rsETH는 약 49개에 불과했다. 그런데 메시지에는 116,500이라고 적혀 있었다. 컨트랙트는 그대로 실행했다. 1-of-1 DVN 구성이 취약점이었다. 검증자 하나, 이중 검증 없음. Kelp 측은 배포 당시 LayerZero의 기본 설정이었다고 주장하고, LayerZero는 다중 검증자를 권고했다고 맞선다. 공격 당시 공개된 추정치에 따르면 LayerZero 기반 활성 프로토콜의 40%가 여전히 동일한 설정을 사용 중이었다.

동결된 7,100만 달러와 법정 공방

4월 21일, Arbitrum Security Council이 공격자와 연결된 온체인 움직임에서 회수된 30,765 ETH(당시 약 7,100만 달러)를 동결했다. 피해 이용자들에게 돌려주기 위한 조치였다. 그런데 5월 5일, 북한 테러 피해를 입은 미국인들을 대리하는 변호사들이 뉴욕 남부 연방 지방법원에 신청서를 제출했다. 핵심 주장은 해당 자금이 테러위험보험법(TRIA)에 따라 “북한 국가 재산”에 해당하므로, 평양에 대해 이미 확정된 판결의 집행을 위해 압류 가능하다는 것이다.

Aave는 법원에 의견서를 제출했다. 해당 자금은 프로토콜 사용자들의 것이며 북한의 소유가 아니라는 주장이다. 자금이 묶이면 라자루스 그룹과 무관한 이용자들에게 “연쇄 청산과 돌이킬 수 없는 피해”가 발생할 것이라고도 강조했다. 상대방은 5월 6일 두 번째 문서에서 반격했다. Aave 자체 이용약관이 플랫폼은 사용자 자산에 대해 “보유, 보관 또는 통제” 권한이 없다고 명시한다는 점을 지적한 것이다. 통제권이 없다면, 법원 앞에서 어떻게 소유권을 주장할 수 있나?

DeFi United는 이미 3억 2,700만 달러를 모았다. CoinDesk의 보도에 따르면 분쟁 금액의 약 4배 수준이다. 숫자만 보면 7,100만 달러는 복구에 꼭 필요하지 않다. 법적 선례의 관점에서는 이야기가 완전히 다르다.

공격 당시 집계 기준으로 LayerZero 기반 프로토콜의 40%가 여전히 단일 검증자 설정을 사용 중이었다. DeFi 보안 태스크포스 SEAL-911의 분석에 따르면. Kelp이 4월 18일 18:26 UTC에 차단한 두 번째 시도가 성공했다면 추가로 약 2억 달러가 빠져나갔을 것이다. 시스템은 일시 중단을 발동하기까지 46분을 버텼다. 수십억 달러를 처리하는 브릿지 치고는 긴 시간이다. 이번 사건이 업계에 남긴 질문은 LayerZero가 아직 완전히 답하지 못한 것이다. 4월 18일과 같은 허위 서명을 오늘 그대로 수용할 컨트랙트가 프로덕션 환경에 얼마나 더 남아 있는가? 설정을 아직 업데이트하지 않은 채로.