켈프 DAO(Kelp DAO)가 운영하는 rsETH 크로스체인 브리지가 19일 대규모 익스플로잇(Exploit) 공격을 받으며 디파이 시장 전반에 충격을 주고 있다. 이번 공격으로 약 2억9200만 달러(한화 약 4310억2120만원) 규모의 rsETH(유동성 재스테이킹 토큰)가 유출됐고, 그 여파는 Aave 등 주요 프로토콜로 확산되며 유동성 위기 우려까지 번지고 있다. ‘익스플로잇’이란 컴퓨터, 스마트 폰 등 전자기기에 대한 보안 취약점을 이용해 해커가 의도한 대로 공격하도록 설계된 명령, 스크립트, 프로그램 등을 뜻한다.
사건은 레이어 제로(LayerZero, 여러 레이어 1 블록체인을 위한 기본 인프라) 기반 메시징 레이어를 악용한 정교한 공격에서 시작됐다. 공격자는 레이어 제로의 검증 구조를 속여, 마치 다른 네트워크에서 유효한 명령이 도착한 것처럼 위조된 패킷을 전달했다. 이에 따라 켈프 DAO의 브리지는 공격자 주소로 11만6500 토큰을 해제했고, 이는 전체 유통량의 약 18%에 해당하는 규모다. 켈프 DAO는 46분 뒤 비상 멀티시그를 통해 핵심 계약을 동결했고, 이후 두 차례 추가 시도된 약 4만 토큰 규모의 공격은 모두 되돌려졌다.
문제는 여기서 끝나지 않았다. rsETH는 Base, Arbitrum, Linea 등 20개 이상의 이더리움 레이어2 네트워크에서 래핑된 형태로 유통되고 있었기 때문에, 브리지 준비금 고갈은 비이더리움 체인 보유자들에게 “내 토큰이 실제로 존재하고 있는지” 의문을 갖게 했다. 일부 레이어 2에서는 공황 매도가 발생했고, 이는 다시 이더리움 본체의 유동성에도 압박을 가하는 악순환 가능성을 키웠다.
특히 에이브(Aave)에서의 충격이 컸다. 공격자는 탈취한 rsETH를 에이브 프로토콜에 예치한 뒤 ETH를 대량으로 인출하는 방식으로 프로토콜을 흔들었다. 이 과정에서 에이브의 ETH 이용률은 100%에 도달했고, 사실상 인출 가능한 ETH 유동성이 바닥났다. 에이브 프로토콜은 탈중앙화 금융(DeFi)에서 가장 널리 사용되는 대출·예치 프로토콜로, 사용자가 암호자산을 예치해 이자를 받고, 담보를 기반으로 다른 자산을 빌릴 수 있게 해주는 유동성 풀 기반 시스템이다.
가상자산 시장에서는 이번 사건을 단순한 브리지 해킹이 아니라, 크로스체인 자산 신뢰 구조 전체를 흔드는 사건으로 받아들이고 있다. 레이어 제로를 단일 검증자로 둔 구조적 문제, OApp(레이어제로의 크로스체인 메시지 전송 표준인 옴니체인 애플리케이션) 키 유출 가능성, DVN(애플리케이션이 원하는 검증 네트워크를 선택해 크로스체인 메시지 검증을 구성하는 개념) 실패 가능성 등 다양한 원인이 제기되며 보안 체계 전반의 재검토 필요성도 커지고 있다.
켈프 DAO는 현재 레이어 제로, 유니체인, 보안업체들과 함께 원인 분석을 진행 중이다. rsETH 관련 계약은 모두 중단됐다. 이번에 유출된 rsETH 토큰이 회수되지 않는다면 에이브 내부에서 (부실채무)가 발생할 가능성이 제기되며, 향후 손실 분담 방식에 대한 커뮤니티 논쟁도 불가피해 보인다.
여러 기사를 종합해 볼 때 이번 사건은 디파이 생태계가 여전히 크로스체인 구조의 취약성에 크게 의존하고 있음을 드러냈다. 켈프 DAO와 에이브의 후속 조치가 시장 신뢰 회복의 분수령이 될 전망이다. 디파이 업계는 ‘보안이 곧 유동성’이라는 냉혹한 현실을 마주하게 됐다.
