두 건의 브릿지 익스플로잇으로 6억 600만 달러가 유출되었고, 130억 달러의 인출 사태가 촉발되었습니다. 크로스체인 전염이 어떻게 DeFi를 무너뜨릴 뻔했는지, 그리고 업계가 어떤 대응을 하고 있는지 살펴봅니다.
Marcus Webb
DeFi 리서치 책임자
2026년 4월은 2025년 2월 이후 DeFi 역사상 최악의 익스플로잇 피해가 발생한 달이 되었습니다. 18일 동안 12건의 해킹으로 6억 600만 달러가 유출되었고, 130억 달러 규모의 인출 연쇄 반응이 일어나며 현대 DeFi 인프라가 얼마나 깊이 상호 연결되어 있는지를 드러냈습니다.
수치는 충격적입니다. 단 18일 만에 12건의 개별 익스플로잇으로 DeFi 프로토콜에서 6억 600만 달러가 유출되었습니다. 피해의 95%는 두 건의 사건에 집중되어 있습니다. Solana의 Drift Protocol 해킹(2억 8,500만 달러, 4월 1일)과 Ethereum의 Kelp DAO 브릿지 익스플로잇(2억 9,200만 달러, 4월 18일)입니다. 이 두 사건은 2026년 전체 암호화폐 도난액의 75%를 차지합니다.
그러나 직접적인 손실은 이야기의 일부에 불과합니다. 진정한 위기는 전염 효과였습니다. 48시간 만에 Aave에서 84억 5,000만 달러가 유출되었고, DeFi TVL은 1월 최고치인 1,100억 달러에서 약 820억 달러로 25% 하락했으며, "DeFi는 끝났다"라는 표현이 3일 연속 암호화폐 소셜 미디어에서 트렌드에 올랐습니다.
이 글에서는 무슨 일이 일어났는지, 왜 일어났는지, 그리고 앞으로 어떤 변화가 올지 분석합니다.
4월 1일, 공격자들은 TVL 5억 5,000만 달러 규모의 Solana 최대 무기한 선물 DEX인 Drift Protocol에서 2억 8,500만 달러를 탈취했습니다. 공격 실행에는 12분이 걸렸지만 준비에는 3주가 소요되었습니다.
공격 방식은 스마트 컨트랙트 버그가 아니었습니다. 공격자들은 퀀트 트레이딩 회사로 위장하여 수 주에 걸쳐 Drift의 보안 위원회 멤버들과 신뢰를 쌓았습니다. 이들은 Solana의 "durable nonces" 기능을 악용했는데, 이 기능은 트랜잭션을 사전 서명하여 나중에 실행할 수 있게 해줍니다. 이를 통해 정당한 서명자들이 휴면 상태의 트랜잭션에 서명하도록 속였고, 해당 트랜잭션은 나중에 프로토콜 공격에 사용되었습니다.
통제권을 확보한 공격자들은 가치 없는 위조 토큰을 담보로 화이트리스트에 등록하고, 5억 개를 입금한 뒤, USDC, SOL, ETH로 2억 8,500만 달러를 인출했습니다. 전염 효과는 20개 이상의 Solana 프로토콜로 확산되었습니다. Carrot Protocol은 TVL의 50%를 잃은 후 민트 및 리딤 기능을 중단했습니다. Pyra Protocol은 인출 기능 자체를 비활성화했습니다.
블록체인 분석 기업 Elliptic은 이번 공격을 DPRK 연계 행위자들과 연결지었으며, 이는 2025년과 2026년에 걸쳐 가속화된 국가 후원 익스플로잇 패턴과 일치합니다.
17일 후인 4월 18일, Kelp DAO 브릿지가 2억 9,200만 달러 규모의 전혀 다른 유형의 공격을 받았으며, 이는 크로스체인 브릿지 아키텍처의 구조적 취약점을 드러냈습니다.
UTC 17:35에 공격자는 Ethereum 메인넷에서 116,500 rsETH를 민팅했는데, 이는 Kelp DAO 유통 공급량의 약 18%에 해당하며 약 2억 9,200만 달러 가치였습니다. 이 토큰에는 담보가 없었습니다. 위조된 LayerZero 메시지가 통과할 수 있었던 이유는 해당 브릿지가 크로스체인 전송 검증에 단일 Decentralized Verifier Network(DVN)에만 의존했기 때문입니다.
공격자는 해당 단일 검증자의 인프라를 장악하여, 트랜잭션 검증에 사용되는 서버를 오염시켰습니다. 두 번째 검증 계층이 없었기 때문에, 브릿지는 위조된 메시지를 정당한 것으로 받아들여 담보 없는 rsETH를 Ethereum에 발행했습니다.
LayerZero는 이번 익스플로잇이 1-of-1 DVN 구성에서 비롯되었음을 확인했습니다. 사후 분석 결과, LayerZero 인프라를 사용하는 프로토콜의 40%가 동일한 단일 검증자 설정으로 운영되고 있는 것으로 드러났습니다.
이후 벌어진 책임 공방은 DeFi 인프라에 대한 불편한 진실을 드러냈습니다. LayerZero는 Kelp의 구성 선택을 지적했습니다. Kelp는 LayerZero 자체의 빠른 시작 가이드와 기본 GitHub 템플릿이 개발자들을 1-of-1 설정으로 유도했다고 반박했습니다. 양측 모두 부분적으로 옳습니다. 기본 설정이 안전하지 않았고, Kelp는 이를 변경하지 않았습니다.
이후 LayerZero는 단일 검증자 구성으로 운영되는 애플리케이션에 대해 더 이상 메시지 서명을 하지 않겠다고 발표했으며, 프로토콜 전반에 걸쳐 multi-DVN 설정(2/3, 3/5 등)으로의 전환을 강제하고 있습니다.
Kelp DAO 익스플로잇은 2억 9,200만 달러에서 끝나지 않았습니다. rsETH가 DeFi 전반에서 담보로 널리 사용되었기 때문에, 담보 없는 토큰이 여러 프로토콜에 걸쳐 연쇄 실패를 유발했습니다.
Aave가 가장 큰 간접적 타격을 받았습니다. 대출 프로토콜이 rsETH 마켓을 동결했지만, 그전에 이미 예치자들의 인출이 시작된 상태였습니다. 48시간 동안 Aave에서 84억 5,000만 달러의 예치금이 빠져나갔으며, TVL은 264억 달러에서 179억 달러로 하락했습니다. rsETH의 담보 미보전 상태가 지속될 경우, Aave는 최대 2억 3,000만 달러의 부실 채권 손실이 예상됩니다.
| 프로토콜 | 영향 | 대응 |
|---|---|---|
| Aave | 84억 5,000만 달러 인출, 2억 3,000만 달러 잠재적 부실 채권 | rsETH 마켓 동결, 거버넌스 제안 진행 중 |
| Pendle | rsETH PT/YT 마켓 영향 | rsETH 거래 쌍 일시 중단 |
| Compound | rsETH 담보를 통한 노출 | 영향받은 마켓 동결 |
| Euler | rsETH를 통한 간접 노출 | 예치 일시 중단 |
| Ether.fi | LayerZero 브릿지 노출 | weETH/eETH 브릿지 일시 중단 |
전염 메커니즘은 전형적입니다. rsETH는 수십 개의 프로토콜에서 담보로 사용되었습니다. 담보가 사라지자, rsETH를 담보로 받던 모든 프로토콜이 잠재적 부실 채권에 직면했습니다. 예치자들의 합리적인 대응은 직접적 노출이 없는 프로토콜에서도 인출하는 것이었는데, 실시간으로 상호 연결 관계를 파악하기 어려웠기 때문입니다.
그 결과, 전체 DeFi TVL은 약 824억 달러까지 하락하여 1년 내 최저치를 기록했으며, 2026년 초 1,100억 달러에서 25% 감소했습니다. Fear and Greed Index는 27까지 떨어졌습니다.
4월의 익스플로잇은 잘 알려진 패턴에 부합합니다. 크로스체인 브릿지는 지속적으로 DeFi에서 가장 위험한 공격 표면이었습니다.
Wormhole 브릿지가 3억 2,000만 달러 규모로 익스플로잇됨
Ronin 브릿지에서 6억 2,500만 달러가 유출됨 (Lazarus Group)
Orbit Chain 브릿지에서 8,100만 달러 손실
Bybit 거래소 해킹, 15억 달러 (Lazarus Group)
Drift Protocol, 2억 8,500만 달러 (DPRK 연계)
Kelp DAO 브릿지, 2억 9,200만 달러 (Lazarus Group)
Kelp DAO 공격은 거의 모든 주요 브릿지 익스플로잇과 동일한 근본 원인을 공유합니다. 검증 과정에서의 단일 장애점입니다. 손상된 멀티시그(Ronin), 누락된 검증 체크(Wormhole), 단일 DVN(Kelp) 등 패턴은 동일합니다. 브릿지 보안은 검증의 이중화에 의존하는데, 프로토콜들은 반복적으로 불충분한 이중화 상태로 출시하고 있습니다.
북한 국가 후원 해커들은 2026년 4월에만 Drift와 Kelp DAO 공격을 통해 암호화폐에서 약 5억 7,700만 달러를 탈취한 것으로 추정됩니다. 이러한 공격의 정교함은 점점 높아지고 있습니다. Drift의 소셜 엔지니어링 접근법과 Kelp의 인프라 침해 모두 수 주간의 준비와 깊은 기술적 지식이 필요했습니다.
업계의 대응은 이전 사이클보다 빠르게 이루어지고 있습니다. 이미 여러 구체적인 변화가 진행 중입니다.
LayerZero의 의무적 multi-DVN 정책은 가장 명백한 실패 모드를 제거합니다. 1-of-1 검증자 설정에 대한 메시지 서명을 거부함으로써, LayerZero는 현재 불안전한 구성으로 운영 중인 40%의 통합 업체들에게 업그레이드를 강제합니다. 이는 단일 조치로서 가장 큰 영향을 미치는 변화이지만, 모든 공격 벡터를 방지하지는 못합니다.
Aave의 거버넌스 제안은 담보로서의 리퀴드 리스테이킹 토큰(LRT)의 구조적 위험을 다루고 있습니다. 이번 사건은 DeFi 대출 프로토콜이 외부 브릿지 무결성에 가치가 의존하는 LRT 자산에 대해 불충분한 리스크 파라미터를 가지고 있었음을 드러냈습니다.
실시간 모니터링이 개선되고 있습니다. Blockaid, Chainalysis 같은 온체인 보안 기업들이 수 시간 내에 기술적 사후 분석을 발표했으며, 여러 프로토콜이 수동 개입 이전에 작동하는 자동화된 서킷 브레이커를 구현했습니다.
규제 압력이 커지고 있습니다. 4월의 손실은 의무적 DeFi 보안 감사에 대한 요구에 긴급성을 더합니다. 2026년 3월에 수립된 SEC-CFTC 프레임워크가 이미 관할권의 기반을 제공하고 있으며, Kelp DAO 사건은 규제 당국에게 보안 표준이 왜 중요한지에 대한 구체적인 사례를 제공합니다.
과거 데이터는 낙관의 근거를 제공합니다. 2022년 Wormhole 해킹 이후 DeFi TVL은 약 15% 하락했다가 한 달 내에 손실의 80%를 회복했습니다. 현재 Fear and Greed 지수가 27인 점은 더 취약한 심리를 시사하며, 일반적인 4주에서 6주 회복 기간보다 길어질 수 있습니다.
몇 가지 요인이 궁극적인 회복을 뒷받침합니다. Kelp DAO 사건에서 기저의 리스테이킹 컨트랙트 자체는 실패하지 않았습니다. EigenLayer 위임은 그대로 유지되어 있습니다. 메인넷 rsETH는 여전히 정당한 예치금으로 담보되어 있습니다. 문제는 브릿지였지, 리스테이킹 프로토콜 자체가 아니었습니다.
DeFi에서의 130억 달러 인출은 프로토콜의 실제 지급 불능이 아니라 공포에 의해 촉발되었습니다. 자금 유출을 경험한 대부분의 프로토콜은 rsETH에 대한 직접적 노출이 없었습니다. 시장이 이 차이를 소화하면서, 더 강력한 보안 체제를 갖춘 프로토콜로 자본이 돌아올 가능성이 높습니다.
주시해야 할 핵심 지표는 Aave의 거버넌스 결의입니다. 프로토콜이 무질서한 청산 사태 없이 잠재적 부실 채권을 성공적으로 관리한다면, 신뢰가 회복될 것입니다. 만약 비상 조치가 필요하거나 추가 손실이 발생한다면, 전염 효과가 심화될 수 있습니다.
여파를 헤쳐나가는 투자자들에게 가장 중요한 세 가지 신호가 있습니다.
브릿지 구성 감사. 어떤 프로토콜이 multi-DVN 설정으로 전환했는지 추적하십시오. 이 데이터는 온체인에서 공개적으로 검증 가능합니다. 빠르게 전환하는 프로토콜은 강한 보안 문화를 보여줍니다.
Aave 거버넌스 결과. rsETH 부실 채권에 대한 커뮤니티의 대처는 실질 수익을 보유한 DeFi 프로토콜이 블랙 스완 이벤트를 관리하는 방식의 선례가 됩니다.
TVL 안정화. 주요 대출 프로토콜에서의 순유출이 멈추면, 공포에 의한 단계는 끝난 것입니다. DefiLlama의 주간 DeFi TVL 데이터가 가장 명확한 신호입니다.
6억 600만 달러의 직접적 손실은 고통스럽습니다. 130억 달러의 공포에 의한 인출은 더 고통스럽습니다. 그러나 구조적 변화, 즉 의무적 다중 검증자 브릿지, 개선된 담보 리스크 파라미터, 실시간 모니터링은 실질적인 진전을 의미합니다. DeFi의 인프라는 스트레스 테스트를 받고 있으며, 이를 견뎌내는 프로토콜은 더 강해질 것입니다.
면책 조항: 이 글은 정보 제공 목적으로만 작성되었으며 금융 조언에 해당하지 않습니다. 암호화폐 투자에는 상당한 위험이 수반됩니다. 투자 결정을 내리기 전에 반드시 직접 조사하고 자격을 갖춘 금융 전문가와 상담하십시오.
시장 분석 및 실행 가능한 인사이트. 스팸은 절대 없습니다.
