Kelp DAO 2,920억 해킹: LayerZero 취약점과 DeFi 충격

사전 공지도 없었다 한편 경고도 없었다. 2026년 4월 18일 03:41 UTC, 116,500개의 rsETH가 비정상적으로 이동했다. 2026년 최대 DeFi 공격은 폭발적으로 시작되지 않았다. 평범한 트랜잭션처럼 보이는 단 하나의 작업으로 시작됐다.

출처: PeckShield · CertiK · CoinDesk · Cybernews · Bank Policy Institute · 2026년 4월 18~20일

Aave 오라클 조작이 피해를 어떻게 증폭시켰나

LayerZero 브릿지의 직접 피해는 $2억 9,200만이었다. Aave를 통한 추가 피해는 이를 시스템적으로 다른 차원으로 끌어올렸다.

공격자는 89,567 rsETH를 Aave에 담보로 예치했다. 문제의 핵심은 Aave의 가격 오라클이 예치 자산의 출처를 검증하지 않는다는 점이었다. 오라클은 예치 시점의 시장 가격만 확인한다. 03:41 UTC 기준, rsETH는 여전히 익스플로잇 이전 가격을 유지했다. 공격자는 곧 급락할 담보를 바탕으로 $1억 9,086만 상당의 Wrapped Ether를 대출받았다. Aave가 rsETH 시장을 동결했을 때, 실제 이더 $1억 9,000만은 이미 프로토콜 밖으로 빠져나간 뒤였다.

CoinDesk에 따르면, 이후 48시간 동안 Aave의 총 예치금은 $263억 5,000만에서 $179억으로 $84억 5,000만 감소했다. DeFi 생태계 전체에서는 $130억 이상이 이탈했다. Aave 창업자 Stani Kulechov는 X를 통해 Aave 컨트랙트 자체는 침해되지 않았다고 밝혔다. 문제는 담보로 수용된 자산에 있었다는 것이다. 기술적으로 중요한 구분이었지만, 자금 이탈을 막지는 못했다.

유사한 공격 벡터에 취약했던 것은 Kelp DAO만이 아니었다. Drift Protocol은 2026년 3월 솔라나에서 $2억 8,600만 규모의 공격을 받았으며, Elliptic의 분석에 따르면 북한 연계 조직의 개입이 의심됐다. 서로 다른 두 사건, 서로 다른 두 벡터, 그러나 불과 일주일 간격이었다. 2026년 4월 20일 기준, CoinDesk 집계 기준 2026년 DeFi 피해 총액은 이미 $7억 7,500만을 초과했다.

기관 DeFi에 무엇이 달라지나

CoinDesk에 따르면, Apollo Global Management와 BlackRock은 이번 익스플로잇 이후에도 온체인 금융 확장 계획을 수정하지 않았다. 기관 투자자들의 입장은 실용적이다. 문제는 DeFi 자체가 아니라, 현재 방어 수준에 있다는 것이다. 2026년 5월 2일 CoinDesk와의 인터뷰에서 한 애널리스트는 “DeFi 스택의 모든 레이어가 보안을 최우선으로 삼아야 한다”고 말했다. “특정 공격 벡터를 훨씬 빠르게 구성할 수 있는 AI 시대에는 더욱 그렇다”는 것이다.

PeckShield는 공격 직후 탈취 자금이 Tornado Cash와 연결된 주소로 이동하는 것을 추적했다. 2026년 4월 18일 08:00 UTC 기준, $1억 8,000만이 이미 믹싱 단계에 진입한 상태였다. 자금 회수 가능성은 사실상 제로에 가깝다.

앞으로 몇 주간 주목해야 할 사안이 있다. 주요 프로토콜의 가격 오라클에 대한 다중 소스 검증 요건 논의. Kelp DAO의 피해 사용자 보상 기금 제안, 그리고 유럽중앙은행(ECB)의 입장이다. ECB는 2026년 5월 2일 이번 익스플로잇을 MiCA 2026 검토 과정에서 DeFi 자산에 대한 건전성 감독 강화의 추가 근거로 명시적으로 인용했다. Christine Lagarde 총재는 시스템적 안정성을 언급했다 그리고 이번에는 실제 수치를 뒷받침으로 삼아서다. 금융감독원(FSS)과 DAXA 역시 국내 거래소의 rsETH 관련 담보 정책 점검에 나설 가능성이 있으며. 한국 DeFi 투자자라면 관련 동향을 면밀히 지켜볼 필요가 있다.