보상 허브 
DeFi 역사상 최대 규모의 공동 복구 펀드가 진행 중입니다. 4월 23일, Aave 서비스 제공업체들이 'DeFi United'라는 크로스 프로토콜 구제 펀드를 출범하여, 4월 18일 발생한 2억 9,200만 달러 규모의 Kelp DAO 브릿지 해킹 피해 이후 rsETH 담보를 복원하기 위해 10만 ETH 조성을 목표로 삼았습니다. 4월 24일 기준, 이미 약 69,534 ETH(약 1억 6,100만 달러)가 모였으며, 기여자 명단은 이더리움 인프라 주요 플레이어들이 포함되어 있습니다.
이 구제 조치는 개별 사용자 보상을 위한 DAO 투표가 아니라, 단일 해킹 사건이 DeFi 최대 대출 프로토콜 전반의 시스템적 부실로 확산되는 것을 방지하기 위한 업계 차원의 공동 노력입니다. Aave는 사용자 예치금 수십억 달러를 보유하고 있습니다.
Kelp DAO에 무슨 일이 발생했고, 왜 Aave가 노출되었나
4월 18일 17:35 UTC, 공격자는 Kelp DAO의 LayerZero 기반 브릿지를 악용해 이더리움 메인넷 에스크로 계약에서 116,500 rsETH(당시 약 2억 9,200만 달러 상당)를 탈취했습니다. Kelp는 브릿지를 단일 검증 노드(DVN) 구조로 설정해, 하나의 노드만이 크로스체인 메시지를 확인하도록 구성했습니다. 공격자는 해당 검증 노드에 연결된 두 개의 RPC 노드를 침해하고, DDoS로 페일오버를 유도해 시스템이 Unichain에서 소각이 발생한 것으로 오인하도록 만들었습니다.
이 조작된 검증인은 허위 메시지를 승인했고, 이더리움 측 계약에서 116,500 rsETH가 해커 지갑으로 출금되었습니다. Kelp는 46분 후 긴급 정지를 통해 추가 1억 달러 규모의 시도를 막았으나, 최초 유출은 이미 완료된 상태였습니다.
이 사건이 Aave로 번진 지점은, 공격자가 곧바로 89,567 rsETH를 Aave에 담보로 예치하고 이더리움과 Arbitrum에서 약 1억 9,000만 달러 상당의 WETH 및 wstETH를 대출받으면서입니다. 대출받은 자산은 실질적인 ETH 및 래핑된 스테이킹 토큰이었으나, 담보인 rsETH는 실체 없는 무담보 토큰이었습니다. 이 89,567 rsETH가 청산될 경우, Aave가 손실을 떠안게 됩니다. Aave 거버넌스 포럼에서는 최대 1억 2,300만~2억 3,000만 달러 손실 가능성이 논의되었습니다.
DeFi United 주요 기여자 및 기여 규모
이번 사태의 독특함은 기여자 명단에 있습니다. 과거 DeFi 해킹 대응은 대개 개별 프로젝트가 자체적으로 손실을 감수하거나, 커뮤니티 펀드레이징, 해커에게 반환을 요청하는 방식에 그쳤습니다. DeFi United는 여러 프로토콜이 조직의 벽을 넘어서 자본을 모아 타 프로토콜 피해를 공동 대응한 첫 사례입니다.
| 기여자 | 금액 | 구조 |
|---|---|---|
| Aave DAO (거버넌스 제안) | 25,000 ETH (~5,800만 달러) | DAO 트레저리 직접 출연 |
| Stani Kulechov (개인) | 5,000 ETH (~1,160만 달러) | Aave 창립자 개인 출연 |
| Mantle Network | 30,000 ETH (~6,960만 달러) | 3년 대출, Lido 이율+1%, 13만 AAVE 위임 필요 |
| Lido DAO | 2,500 stETH (~580만 달러) | 직접 출연 |
| EtherFi | 미공개 | 참여 확인 |
| Ethena | 미공개 | 참여 확인 |
| Ink Foundation | 미공개 | 참여 확인 |
| BGD Labs | 미공개 | 참여 확인 |
| Frax Finance | 거버넌스 투표 대기 | 지지 신호 표시 |
| 개인 기여자 | 다양 | 여러 소규모 출연 |
| 총합 (4월 24일 기준) | ~69,534 ETH | 10만 ETH 목표 중 1억 6,100만 달러 조성 |
Aave DAO의 25,000 ETH 제안이 가장 큰 단일 기여이며, 승인 시 Aave가 최대 출연자가 됩니다. Mantle의 30,000 ETH 대출은 기여 구조가 가장 혁신적으로, 기부가 아니라 3년 만기(이율 Lido+1%) 대출이며, 13만 AAVE 거버넌스 권한 위임이 조건입니다.
Kulechov의 5,000 ETH 개인 출연은 창립자의 신뢰를 시사합니다. 프로토콜 창립자가 대규모로 사비를 출연하는 것은 시장에 해당 프로토콜의 가치와 복구 의지를 보여줍니다.
Arbitrum의 7,100만 달러 별도 동결 조치
DeFi United가 조직되는 동안, Arbitrum 보안위원회는 다른 방법을 택했습니다. 위원회는 해킹과 연관된 30,766 ETH(약 7,100만 달러)를 별도 관리 지갑으로 이동시켜 동결했습니다. 이는 탈취 총액의 약 4분의 1에 해당합니다.
이 조치는 공격자가 Arbitrum에서 훔친 rsETH를 담보로 대출을 받은 직후, 위원회가 해당 포지션을 동결하여 추가 유출을 막은 결과입니다. 해커는 이미 브릿지를 통해 자금을 이동하기 시작했기 때문에, DeFi United 펀드는 여전히 나머지 부족분을 보충해야 합니다.
즉, Arbitrum은 중앙화된 긴급 권한으로, DeFi United는 탈중앙화된 조정 방식으로 각기 복구에 접근하고 있습니다. 이 두 방식의 병행은 업계 최초입니다.
Lazarus Group 연관과 브릿지 보안 논의
LayerZero는 이 공격이 북한 관련 해킹 조직 Lazarus Group(TraderTraitor 소속)의 소행이라 밝혔습니다. 이들은 공격 전 토네이도 캐시를 통한 자금 세탁, 취약 인프라에서의 자가 소멸형 바이너리 사용, 자금 이동 패턴 등에서 북한 해킹팀의 기존 방식과 유사점을 보였습니다.
만일 해당 추정이 사실이라면, Lazarus Group은 2026년 4월 한 달간 DeFi에서 5억 7,500만 달러를 탈취한 셈이 됩니다(Drift Protocol 공격 포함). 이는 지난 2022년 한 해 전체 탈취액(17억 달러)을 뛰어넘는 수준입니다.
Kelp와 LayerZero의 책임 공방도 시사하는 바가 큽니다. LayerZero는 Kelp가 자사 경고를 무시하고 단일 검증 구조를 택했다 주장하고, Kelp는 LayerZero의 기본 설정이 취약점의 근원이 되었다고 반박합니다. 실제 진실은 그 중간에 있을 수 있으나, 사용자 입장에서는 단일 검증 노드 구조의 브릿지는 시장에서 적정 리스크를 반영하지 못한다는 점이 교훈입니다. 다중 검증인 설정이었다면, 이번 공격 벡터는 효과가 없었을 것입니다.
DeFi United가 목표 10만 ETH를 달성하면?
10만 ETH 목표는 rsETH 담보 완전 복원을 위한 필요치입니다. 전액 복구 시 rsETH 보유자는 1:1 ETH 클레임을 보장받으며, Aave의 부실채권 부담도 공동 복구 펀드가 해소합니다. 만약 복구가 미달성될 경우, rsETH는 할인 거래되고, Aave와 관련 프로토콜은 손실을 감수해야 합니다.
실제 해킹 직후 Aave의 TVL은 60억 달러 감소했으며, DeFi 전체 TVL도 이틀 만에 130억 달러 넘게 빠졌습니다. 이는 직접 노출되지 않은 프로토콜에서도 투자자 불안이 확산된 결과로, DeFi United의 핵심 목표는 불안 확산 방지와 신뢰 복원입니다.
rsETH를 직접 보유하지 않는 DeFi 사용자도 예외가 아닙니다. Aave가 DeFi 최대 대출 프로토콜인 만큼, 플랫폼 건전성은 시장 전반의 대출금리, 담보 가용성, 유동성에 영향을 줍니다. 만일 복구 펀드가 목표치에 미치지 못할 경우, Aave의 트레저리와 세이프티 모듈이 손실을 떠안아야 하며, 추가 AAVE 토큰 매각 등으로 인해 토큰 보유자에게는 희석 부담이 생길 수 있습니다.
자주 묻는 질문
DeFi United란?
DeFi United는 Aave 서비스 제공자들이 주도해 10만 ETH를 모아, Kelp DAO 해킹 피해 이후 rsETH를 복원하기 위한 공동 구제 펀드입니다. 주요 기여자로는 Aave DAO, Lido, Mantle, EtherFi, Ethena 등이 있습니다. 4월 24일 기준, 약 69,534 ETH가 모였습니다.
Kelp DAO 해킹은 어떻게 발생했나요?
공격자는 Kelp의 단일 LayerZero 검증 노드에 연결된 RPC 노드를 침해해 허위 크로스체인 메시지를 승인하도록 만들었고, 이더리움 메인넷 에스크로에서 116,500 rsETH(2억 9,200만 달러 상당)를 유출했습니다. 이후 이 토큰을 Aave에 담보로 예치해 1억 9,000만 달러 상당의 자산을 대출받았습니다.
Kelp의 해킹인데 왜 Aave가 연루됐나요?
공격자가 무담보 rsETH 89,567개를 Aave에 담보로 예치해 1억 9,000만 달러 상당의 WETH 및 wstETH를 대출받았기 때문입니다. 해당 포지션이 청산될 경우, Aave가 손실을 떠안게 됩니다. 손실 규모는 체인별 배분에 따라 1억 2,300만~2억 3,000만 달러로 추정됩니다.
DeFi 역사상 최대 복구 사례인가요?
네, 여러 측면에서 업계 최대 규모의 공동 복구 펀드입니다. 과거에는 개별 프로토콜이 자체적으로 손실을 감수했으나, 이번에는 수만 ETH가 조직의 경계를 넘어 한데 모였습니다.
결론
DeFi United는 일주일도 안 돼 목표치의 약 70%에 도달했습니다. Aave, Mantle, Lido 및 주요 업계 인사들이 자본을 투입해 rsETH 복구에 나서고 있습니다. 앞으로 48~72시간이 관건입니다. Aave DAO 거버넌스 투표가 통과되고 모금이 완료되면 DeFi 업계는 대규모 부실 위기를 피할 수 있고, 대규모 탈중앙화 협력의 실현 가능성을 입증할 수 있습니다. 만약 모금이 부족할 경우, Aave의 세이프티 모듈이 손실을 부담하게 되고, 토큰 보유자 희석 및 담보 리스크 관리에 대한 시장의 우려가 다시 부각될 수 있습니다. Lazarus Group이 연루된 이번 사건은 규제기관이 브릿지 보안 기준 강화 움직임에 더욱 박차를 가하는 계기가 될 수 있습니다. DeFi 대출 프로토콜 이용자라면 이번 DeFi United의 진행 상황을 주목할 필요가 있습니다.
본 기사는 정보 제공 목적이며, 재정 또는 투자 조언이 아닙니다. 암호화폐 거래에는 상당한 위험이 따르므로, 투자 결정 전 충분한 사전 조사가 필요합니다.
