보상 허브 
2025년 4월 18일부터 20일까지 DeFi의 총 예치금(TVL)은 약 990억 달러에서 850억 달러로 급감하며 1년 만에 최대 이틀 낙폭을 기록했습니다. 원인은 Kelp DAO의 브리지 해킹(2억 9,200만 달러 손실)이었고, 이 프로토콜의 rsETH 토큰이 9개 이상의 대출 시장에서 담보로 사용되던 중 공격자가 Kelp의 브리지 계약을 탈취하며 rsETH가 페그를 잃고 순식간에 대규모 담보가 증발했습니다. 이로 인해 Aave에서는 66억 달러의 자금이 인출되는 등 확산을 우려한 사용자들의 대거 출금 사태가 벌어졌습니다.
이 사건에서 주목해야 할 숫자는 피해액 2억 9,200만 달러가 아니라 15개월입니다. 바로 15개월 전 Kelp DAO의 단일 검증자 브리지 구조의 치명적 취약점이 CryptoTimes를 통해 보고되었으나, Kelp 측은 경고를 인지하고도 별다른 조치를 취하지 않았습니다.
Kelp 해킹의 실제 작동 방식
공격자는 Ethereum 메인넷과 Kelp의 리스테이킹 레이어 간 트랜잭션을 검증하는 단일 검증자 기반 크로스체인 브리지를 표적으로 삼았습니다. LayerZero 보안팀은 2025년 1월 해당 구조가 단일 실패지점이 되어, 검증자 키 하나가 노출되면 전체 브리지 통제가 가능하다는 점을 이미 경고한 바 있습니다.
2025년 4월 18일, 공격자는 바로 이 취약점을 이용했습니다. 포렌식 보고에 따르면 Kelp 팀원을 대상으로 한 소셜 엔지니어링을 통해 검증자 키에 접근했고, 이로써 이더리움 메인넷에서 담보 없는 rsETH를 민팅했습니다. 민팅된 토큰은 곧바로 대출 프로토콜에 담보로 예치되어 ETH 및 스테이블코인을 차입, 여러 체인으로 자금을 옮긴 후 Kelp의 모니터링 시스템이 이상을 감지했습니다.
총 피해액은 2억 9,200만 달러였으나, rsETH가 DeFi 대출 생태계의 근간 역할을 했던 만큼 피해는 그 이상으로 확산됐습니다.
2억 9,200만 달러가 140억 달러 손실로 이어진 이유
피해의 핵심은 단순히 도난 규모가 아니라 rsETH의 DeFi 내 위치에 있습니다.
rsETH와 같은 유동 리스테이킹 토큰은 이더리움을 스테이킹하면 받고, 다시 이를 담보로 대출해 추가 자산을 빌리는 식으로 구조적 파생이 가능합니다. 하지만 페그가 깨지면서 9개 프로토콜이 rsETH 시장을 즉시 동결했고, rsETH를 담보로 한 대출 포지션은 강제 청산되거나 포지션 청산조차 막혔습니다. rsETH가 담보로서 신뢰를 잃자, 해당 토큰 기반 대출시장 전반에 불신이 확산된 것입니다.
Aave는 단일 프로토콜 기준 가장 큰 영향을 받았습니다. Aave 자체에 해킹이 있었던 건 아니지만, rsETH 담보 신뢰가 무너지자 36시간 만에 66억 달러가 빠져나갔습니다. 이는 은행 도미노 현상과 유사합니다.
| Protocol | 조치 | 추정 인출액 |
|---|---|---|
| Aave | rsETH 시장 동결, 신규 예치 중단 | $6.6B |
| Compound | 긴급 거버넌스 투표로 rsETH 제거 | $1.2B |
| Morpho | 자동 리스크 파라미터 조정 | $890M |
| Euler | rsETH 볼트 동결 | $740M |
| Spark (MakerDAO) | rsETH 담보 중단 | $620M |
대부분의 프로토콜이 신속한 조치를 취했고, 4월 20일 기준 DeFi TVL은 약 850억 달러로 감소하여 2025년 4월 이후 최저치를 기록했습니다.
Kelp가 무시한 15개월 전의 경고
이번 사건은 단순 해킹이 아니라 거버넌스 실패로도 해석됩니다. 2025년 1월, LayerZero의 크로스체인 보안팀은 Kelp 브리지 등 여러 리스테이킹 브리지에 대한 내부 평가를 진행했고, 당시 Kelp 브리지는 1억 8,000만 달러를 보유 중이었습니다. 보고서는 단일 검증자 구조가 "5,000만 달러 이상 자산 보호에는 치명적으로 미흡"하다고 명시했으며, 최소 5인의 독립 검증자와 3/5 승인 구조의 멀티시그 도입을 권고했습니다. 하지만 15개월이 지나도록 Kelp는 단일 검증자 체계를 유지했고, TVL은 1억 8,000만 달러에서 4억 달러로 증가했습니다.
DeFi 커뮤니티는 신속하게 거버넌스 투명성, 브리지 보험, 검증자 기준 강화 요구 등 구조적 개선 논의를 이어가고 있습니다. 하지만 이는 Wormhole 해킹 사건 및 2023년 Multichain 붕괴 당시에도 반복적으로 논의됐던 사안임을 고려해야 합니다.
이번 TVL 하락이 시사하는 DeFi 리스크
85억 달러 TVL은 단순 수치 이상의 의미를 지닙니다. 2025년 10월 DeFi TVL이 1,700억 달러까지 상승했던 뒤, 시장 약세와 이자 농사 감소로 990억 달러까지 감소한 상태에서 발생한 추가 하락입니다. Kelp 해킹으로 인한 14% 추가 하락은 2024년 약세장 회복기 이후 최저 수준을 기록하게 했습니다.
DeFiLlama 프로토콜 흐름에 따르면, 이번 대규모 유출은 DEX나 이자 농사보다는 대출 프로토콜(Aave, Compound, Euler)에서 집중됐습니다. 이는 유동성 위기가 아닌 담보 신뢰 위기임을 의미합니다. 예를 들어 Terra/Luna 붕괴 당시 약 300억 달러가 빠져나갔으나, 이번 Kelp 사태도 비슷한 구조적 충격을 보였습니다.
DeFi 프로토콜의 대응
주요 프로토콜들은 단순 동결을 넘어서 구조적 개선책을 추진 중입니다.
Aave 거버넌스 포럼에서는 단일 유동 리스테이킹 파생상품의 담보 비중 제한(15%), 담보 토큰의 브리지 보험 의무화, 크로스체인 담보 분기별 외부 감사 의무화 등 세 가지 주요 안건이 논의되고 있습니다.
MakerDAO 산하 Spark 프로토콜은 멀티시그(5인 이상) 구조를 사용하지 않는 유동 리스테이킹 토큰을 담보로 인정하지 않겠다고 발표했습니다.
Compound는 해킹 발생 18시간 만에 긴급 거버넌스 투표로 rsETH를 영구 제거하고, 신규 담보는 72시간의 보안 검토 기간을 의무화했습니다.
이러한 대응은 의미있으나, 여전히 사후적입니다. DeFi의 시스템 리스크는 늘 사전에 예측 가능했지만, 실제 취약점이 터져야만 조치가 이뤄지는 사이클이 반복되고 있습니다.
자주 묻는 질문
Q: DeFi TVL이 이틀 만에 140억 달러 감소한 원인은?
A: Kelp DAO 브리지 해킹으로 인한 rsETH 페그 붕괴 및 담보 신뢰 상실로, 주로 대출 프로토콜에서 대규모 인출이 발생했습니다.
Q: Kelp 해킹은 예방 가능했나?
A: 15개월 전부터 단일 검증자 구조 취약성이 지적됐으나, 권고된 멀티시그 구조를 도입하지 않아 예방 가능성이 높았던 사례입니다.
Q: DeFi TVL은 빠르게 회복될까?
A: 회복은 담보 기준 개선 속도와 시장 전반 상황에 달려 있습니다. 신뢰 회복에는 수개월 이상 소요될 수 있습니다.
Q: DeFi 대출 프로토콜 자금을 인출해야 할까?
A: 이미 담보 기준을 강화하거나 rsETH를 동결/제거한 프로토콜(Aave, Compound, Spark)은 즉각적 취약점을 해소했습니다. 본인의 자산이 어떤 담보 유형에 연동되어 있는지 확인 후 의사결정을 권장합니다.
결론
DeFi는 Terra/Luna 사태 이후 최대 담보 위기를 겪었으며, 15개월 전 보고된 취약점이 조치되지 않은 채 프로토콜 규모가 세 배로 성장한 점이 가장 뼈아픈 교훈입니다. TVL은 1년 만에 최저치로 하락했고, 신뢰 회복은 기술적 패치보다 시간이 더 걸릴 전망입니다.
엄격한 담보 제한, 브리지 감시, 멀티시그 요건 도입은 올바른 방향이지만, 근본 구조 변화 없이는 반복 위험이 상존합니다. DeFi의 연결성과 확장성이 강점이자 취약점임을 잊지 말아야 합니다.
앞으로 2주간 Aave의 거버넌스 투표 결과에 주목할 필요가 있습니다. 15% 담보 상한선이 통과된다면, 해당 기준이 업계 새로운 표준이 될 수 있습니다.
본 기사는 정보 제공 목적이며, 재정적 또는 투자 권고가 아닙니다. 암호화폐 거래에는 고유의 위험이 있으므로, 투자 전 충분한 사전 조사를 권장합니다.
