서론

2026년 4월 중순, 탈중앙화 금융(DeFi) 생태계는 암호화폐 역사상 가장 가혹한 스트레스 테스트 중 하나에 직면했습니다. 유망한 유동성 리스테이킹 토큰(LRT) 프로토콜인 켈프 DAO(Kelp DAO)에서 2억 9,300만 달러 규모의 치명적인 해킹 사고가 발생했습니다. 이 충격은 단일 프로토콜의 피해를 넘어 즉각적으로 디파이 전반의 극심한 유동성 위기를 촉발했으며, 단 며칠 만에 수백억 달러의 자금이 시장을 이탈하는 사태를 낳았습니다. 사태의 심각성이 커지자 디파이 대장주격인 라이도(Lido) DAO는 연쇄 도산을 막기 위해 580만 달러 규모의 전례 없는 구제금융을 전격 제안하기에 이르렀습니다. 본 보고서는 켈프 DAO 해킹의 기술적 전말과 시장 연쇄 파급 효과를 분석하고, 2026년 리스테이킹 생태계가 직면한 시스템적 위험성을 심층 진단합니다.

배경: 리스테이킹 생태계의 확장과 인프라의 맹점

2025년과 2026년 초에 걸쳐 아이겐레이어(EigenLayer)를 필두로 한 유동성 리스테이킹 토큰(LRT) 생태계가 급격히 확장됨에 따라, 디파이 프로토콜들은 여러 네트워크 간의 원활한 자산 이동과 상태 동기화를 위해 크로스체인 메시징 솔루션에 절대적으로 의존하게 되었습니다. 켈프 DAO 역시 크로스체인 브릿지 운영을 위해 업계 선두인 레이어제로(LayerZero)의 인프라를 활용했습니다.

그러나 여기에는 치명적인 설계상 오류가 내포되어 있었습니다. 켈프 DAO는 크로스체인 통신 검증 과정에서 '1-of-1 단일 탈중앙화 검증 네트워크(DVN)' 구조를 채택했습니다. 이는 수많은 검증인들이 합의를 거치는 일반적인 블록체인 구조와 달리, 자금을 해제하기 전 크로스체인 메시지를 검증하는 주체가 단 하나의 노드에 불과하다는 것을 의미합니다. 레이어제로 측에서 이러한 중앙화된 아키텍처가 완벽한 '단일 장애점(Single Point of Failure)'을 형성할 수 있다고 과거 수차례 경고했음에도 불구하고, 켈프 DAO는 효율성을 이유로 해당 설정을 유지했습니다.

핵심 분석: 보안을 우회한 2억 9,300만 달러의 무단 발행

2026년 4월 18일 협정세계시(UTC) 17시 35분경, 북한의 라자루스(Lazarus) 그룹으로 강하게 추정되는 고도로 숙련된 해커 조직이 이 치명적인 취약점을 정확히 파고들었습니다. 이번 공격의 가장 큰 특징은 공격자들이 이더리움 스마트 컨트랙트 자체의 결함을 뚫은 것이 아니라, 기저의 데이터 소스를 교란하는 인프라 공격 방식을 택했다는 점입니다.

공격자들은 켈프 DAO의 정상적인 원격 프로시저 호출(RPC) 노드들에 대규모 분산 서비스 거부(DDoS) 공격을 가해 시스템을 강제로 마비시켰습니다. 정상 노드들이 오프라인 상태가 되자, 켈프 DAO의 시스템은 사전에 공격자가 장악해둔 악의적인 RPC 노드로 자동 전환(Failover)되는 오류를 범했습니다. 완전히 고립된 환경에서 유일한 정보원이 된 이 악성 노드들은 단일 검증기(1-of-1 DVN)에 조작된 가짜 크로스체인 메시지를 주입했습니다.

오직 하나의 검증 노드만을 믿고 작동하는 스마트 컨트랙트는 이 허위 메시지를 진실로 받아들였고, 즉각적으로 이더리움 메인넷에서 아무런 실제 담보물 없이 11만 6,500개의 가짜 rsETH를 무단 발행했습니다. 이는 당시 rsETH 전체 유통량의 약 18%에 달하는 규모로, 순식간에 2억 9,300만 달러라는 거액의 허위 자산이 허공에서 창조된 것입니다. 공격 발생 46분 후인 18시 21분에 켈프 DAO 측의 긴급 다중서명(Multisig)을 통해 모든 컨트랙트가 일시 정지(Pause)되었으나, 이미 자산은 외부로 빠져나간 뒤였습니다.

시장 영향: '머니 레고'가 촉발한 디파이 뱅크런

이번 사태는 일명 '머니 레고(Money Legos)'로 불리는 디파이 생태계의 상호 운용성이 가진 치명적인 시스템적 리스크를 적나라하게 입증했습니다. 해커들은 무단 발행한 가짜 rsETH를 즉시 에이브(Aave), 컴파운드(Compound)를 비롯한 주요 디파이 대출 플랫폼에 우량 담보로 예치하고, 약 2억 3,600만 달러 상당의 랩핑된 이더리움(WETH)과 기타 자산을 대출받아 빼돌렸습니다. 깡통 담보로 진짜 우량 자산을 세탁해낸 셈입니다.

담보의 실체가 없다는 사실이 알려지며 rsETH의 1:1 달러 페깅이 산산조각 났고, 디파이 시장은 전례 없는 거대한 패닉에 빠졌습니다. 4월 18일부터 20일까지 단 48시간 동안, 극도의 공포를 느낀 투자자들이 에이브를 비롯한 핵심 대출 프로토콜에서 약 100억 달러에서 140억 달러에 달하는 총 락업 예치금(TVL)을 현금화하며 대규모 뱅크런(Bank Run)을 일으켰습니다. 심각한 유동성 경색으로 인해 에이브의 테더(USDT) 대출 금리는 평소 3% 수준에서 14%로 폭등했습니다.

해커의 자금 세탁 속도 또한 경이로웠습니다. 공격자는 추적을 피하기 위해 토르체인(THORChain)과 프라이버시 프로토콜 엄브라(Umbra)를 적극 활용하여 전체 탈취 금액의 상당수인 75,700 ETH(약 1억 7,500만 달러)를 비트코인 등으로 세탁 완료했습니다. 다행히 아비트럼(Arbitrum) 보안 위원회가 신속히 개입하여 30,766 ETH를 긴급 동결하는 데 성공했으나, 이미 빠져나간 자금으로 인해 에이브에는 최소 1억 2,400만 달러에서 최대 2억 3,000만 달러에 달하는 막대한 악성 부채가 남겨졌습니다. 폴리마켓(Polymarket)과 같은 예측 시장에서는 연내 1억 달러 이상의 추가 해킹이 발생할 확률을 100%로 가격에 반영하며 시장의 극단적인 불안감을 대변했습니다.

전망: 라이도의 전격 구제 제안과 기관 투자의 향방

사태가 걷잡을 수 없이 확산되며 이더리움 생태계 전체의 신뢰가 흔들릴 위기에 처하자, 2026년 4월 23일 이더리움 최대 스테이킹 프로토콜인 라이도(Lido) DAO는 이례적인 거버넌스 제안을 상정했습니다. 바로 켈프 DAO의 rsETH 적자 보전을 위해 최대 2,500 stETH(약 580만 달러)를 지원하는 구제금융 성격의 긴급 자금 투입 안건이었습니다.

라이도의 이러한 적극적인 개입은 단순한 호의가 아닙니다. rsETH의 지속적인 붕괴가 초래할 시장 금리의 급격한 왜곡, stETH와 연동된 각종 디파이 볼트(Vault) 및 루핑(Looping) 투자 전략의 연쇄 강제 청산 등 2차 파급 효과(Second-order effects)를 조기에 차단하기 위한 생존 전략입니다. 이와 동시에 에이브 역시 막대한 악성 부채를 흡수하고 프로토콜의 건전성을 회복하기 위해 '디파이 유나이티드(DeFi United)'라는 이름의 구제 펀드 조성을 논의하기 시작했습니다.

전통 금융권 및 기관 투자자들 역시 이번 사태를 예의주시하고 있습니다. JP모건의 핵심 애널리스트들은 이번 켈프 DAO 사태로 인해 크로스체인 인프라의 보안 불감증과 디파이 TVL의 정체가 재차 부각되었다고 지적했습니다. 이들은 디파이의 시스템적 취약성이 기관 투자자들의 진입을 심각하게 가로막고 있으며, 리스크를 피하려는 스마트 머니가 테더(USDT)와 같은 상대적으로 안전한 스테이블코인으로 대피하는 현상을 가속화하고 있다고 경고했습니다.

결론

2026년 4월 발생한 켈프 DAO 해킹 사건은 단순히 한 프로토콜의 보안 실패를 넘어, 디파이 생태계 전체에 매우 무겁고 결정적인 경고의 메시지를 던지고 있습니다. 여러 프로토콜을 레고 블록처럼 쌓아 올리는 '상호 운용성'은 디파이 특유의 놀라운 자본 효율성을 이끌어내지만, 기반 인프라 단 한 곳에 결함이 생겼을 때 그 피해를 걷잡을 수 없이 증폭시키는 양날의 검과 같습니다. 이더리움 유동성 리스테이킹(LRT) 시장에 참여하는 모든 투자자들은 개별 프로젝트가 제시하는 높은 수익률 이면에 숨겨진 카운터파티 리스크(거래상대방 위험)를 근본적으로 재평가해야 합니다. 특히 내 자산의 이동을 책임지는 크로스체인 브릿지가 구조적으로 충분한 탈중앙화 검증 장치를 갖추고 있는지 그 어느 때보다 철저히 검증하는 방어적 투자 자세가 절실히 요구됩니다.