스트림 파이낸스 붕괴가 전체 DeFi 생태계를 흔들었습니다. 연쇄 붕괴의 구조적 원인과 각 주체의 책임, 그리고 다음 붕괴를 막기 위한 해법을 본 리포트를 통해 명확하게 알아겠습니다.
Key Takeaways
스트림 파이낸스의 xUSD 붕괴가 MEV Capital, 엘릭서, 컴파운드 등 DeFi 생태계 전반으로 확산
리스크 큐레이터, 렌딩 프로토콜, 리서처 모두 책임에서 자유롭지 못함
신용 등급 시스템과 슬래싱 구조 등 리스크 관리 도구 없이는 DeFi 레버리지 젠가 반복 불가피
1. DeFi 젠가 붕괴, 연쇄 파산의 시작
최근 스트림 파이낸스(Stream Finance)에서 시작된 붕괴가 DeFi 생태계 전반으로 번지며 수천억 원대 손실을 낳았다. 젠가에서 하나의 블록을 잘못 빼면 전체가 무너지듯, 복잡하게 얽힌 DeFi 구조가 한 프로토콜의 부실로 연쇄적으로 무너진 사례다.
도대체 어떤 일이 있었고, 누구에게 책임이 있을까?
2. 스트림 파이낸스에서 시작된 붕괴
2.1. 스트림 파이낸스 붕괴
스트림 파이낸스는 리스크 큐레이터로 일종의 자산 운용사다. USDC 같은 사용자 자산을 받아 전문 투자 전략을 “탈중앙화 방식”으로 운용한다고 주장한 프로젝트였다.
이들의 대표 상품은 xUSD였다. 투자자가 USDC를 예치하면 연 18%의 수익률을 제공했다.
스트림 파이낸스는 xUSD 운영 방식을 시장 등락과 무관하게 안정적으로 수익을 내는 “마켓 뉴트럴”으로 설명했다. 하지만 당시 대표적인 마켓 뉴트럴 프로토콜인 에테나(Ethena)를 비롯해 대다수 스테이블코인 예치 수익률은 한 자릿수였다. 이러한 상황에서 스트림 파이낸스가 두 자릿수 수익률을 제공한다는 것은 의문을 자아냈다.
실제로 스트림 파이낸스는 ‘준비금 증명(Proof of Reserves)’이 없어 운용 방식이 불투명했으며, 보험 기금 여부도 확인되지 않았다. 즉, 투자자가 직접 확인할 수 있는 것은 아무것도 없었다. 결국 약속한 전략과 전혀 다른 방식으로 자금이 운용되었을 것이라는 합리적인 의심이 제기됐다.
결국 10월 29일, CBB가 X를 통해 문제를 공개적으로 제기했다. “Stream의 xUSD는 온체인 담보 자산이 1억 7천만 달러에 불과한데, 4.1배에 달하는 5억 3천만 달러를 차입했다”는 내용이었다.
당시의 모든 온체인 데이터를 확인할 수는 없었지만, 구조적 문제는 분명했다. xUSD 발행사가 자신의 상품(xUSD)를 담보로 렌딩 프로토콜에서 다시 대출을 받는 방식이었기 때문이다. 이는 마치 자기가 발행한 약속어음을 담보로 은행에서 다시 대출받는 것과 같았다. 즉, 자산들이 순환적으로 얽혀 있어 실제 담보 가치를 확인할 수 없는 구조였다.
같은 시기 Balancer 해킹이 일어나며 시장 전체에 패닉이 번졌다. 사람들이 스트림에서 돈을 인출하기 시작했고(뱅크런), 취약한 구조를 가진 스트림은 버티지 못했다. 이미 내부적으로 파산 상태였던 스트림은 공식 발표를 냈다. “외부 펀드 매니저의 운용 실패로 9,300만 달러(약 1,300억 원)의 손실이 발생했다”는 내용이었다.
2.2. xUSD의 여파
xUSD는 즉각 붕괴하며, DeFi 젠가가 무너지기 시작했다. 가장 크게 MEV Capital 같은 큐레이터들이 큰 타격을 입었다. MEV Capital은 투자자들로부터 모은 USDC를 운용했는데, 치명적으로 xUSD/USDC 마켓에 자금을 투자하고 있었다.
문제는 xUSD 붕괴 과정에서 더 심각해졌다. xUSD의 실제 가격은 폭락했지만, 오라클 가격은 1.26달러에서 멈춰버렸다.
왜 가격이 수동으로 업데이트 됐을까?
일반적으로 체인링크(Chainlink) 같은 오라클은 시장 가격을 실시간으로 자동 업데이트한다. 하지만 일부 프로토콜은 일시적인 가격 변동으로 인한 불필요한 청산을 막기 위해 수동 업데이트 방식을 택한다. 평소에는 대출자를 보호하는 장치지만, 자산 가치가 실제로 무너질 때는 재앙이 된다.
담보로 보유한 xUSD의 가치가 급격하게 하락하는데도, 시스템은 이를 인지하지 못했다. 결과적으로 적절한 타이밍에 청산이 작동하지 않았고, 약 65만 달러의 USDC 부실 채권이 발생했다. 이 손실은 고스란히 MEV Capital을 믿고 자금을 맡긴 투자자들의 몫이 되었다.
2.3. deUSD의 여파
엘릭서(Elixir)의 자체 스테이블코인인 deUSD도 큰 영향을 받았다. 스트림이 전체 deUSD 공급량의 약 90%(약 7,500만 달러)를 보유하고 있었다. 정상적인 운영이 불가능해진 엘릭서는 결국 프로젝트 종료를 선언했다. xUSD에 이은 deUSD 붕괴는 즉각적으로 디파이 생태계 전반으로 충격을 확산시켰다.
가장 큰 위험에 노출된 곳은 deUSD를 담보 자산으로 취급하던 컴파운드(Compound)였다. deUSD의 위험성에 대한 인식이 확산되며 실제 시장 가격은 0.86~1달러 사이를 오가며 불안한 흐름을 보였다. 하지만 컴파운드의 오라클은 1.06달러를 표시하는 오류가 발생했다.
공격자들은 이 가격 차이를 이용했다. 시장에서 1달러 이하로 떨어진 deUSD를 담보로 맡기면 시스템은 1.06달러로 인식했고, 그 차액만큼 더 많은 USDC, USDT를 대출받을 수 있었다. 리스크 관리자인 건틀렛(Gauntlet)은 USDC, USDT 등 주요 마켓의 출금을 긴급 중단하는 비상 조치를 발동했다. 긴급 조치 후 약 40시간 뒤 deUSD 가격은 결국 0으로 폭락했다.
연쇄 붕괴는 여기서 그치지 않고 deUSD 기반의 파생 자산(sfastUSD)을 담보로 지원하던 Yei Finance로 이어졌다. sfastUSD의 가치가 0으로 폭락하며 약 860만 달러의 부실 채권이 발생했으나, Yei Finance 팀은 이 손실 전액을 팀이 보상하겠다고 발표하며 사태 수습에 나섰다. 이 외에도 TelosC, Re7 Labs, Treeve 등의 피해가 이어지고 있다.
3. 무너진 젠가에 대한 책임은 누구에게 있는가?
기존 금융상품은 종류에 따라 인가나 등록을 받아야 한다. 하지만 디파이는 탈중앙화 이념에 기반해 누구나 자기 입맛대로 상품을 만들 수 있다. 검증이나 감독 없이 만들고 포장해서 출시하는 것이다.
이런 환경에서는 파생 상품이 끝없이 쌓인다. 실제 리스크와 상관없이 파생을 더할수록 겉보기 수익률은 높아지기 때문이다. 결과적으로 상품들은 거미줄처럼 복잡하게 엮인다. 스트림 파이낸스 사건처럼 하나가 무너지면 연결된 모든 자산이 함께 망가진다.
그렇다면 이 참사의 책임은 누구에게 있을까?
실질적인 피해는 투자자가 떠안지만, 근본적인 책임은 다른 곳에 있다. 상품을 운용하는 리스크 큐레이터, 사용자와 프로토콜을 연결하는 플랫폼들, 그리고 시장의 등대 역할을 해야 하는 리서처들이다.
3.1. 전문성이 없는 리스크 큐레이터
이번 사태 이후 투자자 스스로 DYOR(Do Your Own Research)을 해야 한다는 목소리가 높아졌다. 하지만 개인이 모든 것을 확인하기는 사실상 어렵다. 투자자들은 상품을 제공하는 플랫폼이나 리스크 큐레이터 같은 전문 주체들을 믿고 자금을 맡긴다.
하지만 앞서 설명한 것처럼 DeFi 자산은 거미줄처럼 엮여 있어 리스크를 분석하기가 더욱 어렵다. 하지만 직접 자산을 운용하는 리스크 큐레이터들 중 실제 리스크 관리를 체계적으로 하는 팀이 얼마나 있을지 의문이 들 정도이다.
실제로 전통 금융에서는 리스크 관리에 상당한 자원을 투입한다. 해외 주요 금융기관에서는 리스크 관리 조직 인력이 전체 임직원의 약 1~5%를 차지한다. 대형 글로벌 금융그룹은 리스크 관리 전문 인력을 일정 규모 이상 보유하며, 사업부서별로도 독립적인 리스크 관리 조직을 운영한다.
반면 이번 사태의 리스크 큐레이터들은 어땠을까? 이들은 리스크 관리는커녕 ‘암묵적 레버리지 루프’를 설계하며 위험을 오히려 증폭시켰다. 이는 단순한 운용 실패가 아니다. 수수료 수익을 위해 위험을 의도적으로 방조한 것에 가깝다.
3.2. 비허가형(Permissionless)에 숨은 프로토콜
Morpho와 Euler 같은 렌딩 프로토콜은 DeFi 생태계의 ‘금융 인프라 제공자’다. 비허가형 시스템을 제공해 실제 운영은 입점한 리스크 큐레이터에게 맡기는 구조다. 비허가형으로 환경만 제공하기에 일각에서는 책임이 없다고 주장하지만, 이는 반쪽짜리 주장이다.
이러한 주장은 전통 금융에서도 흔히 등장한다. 증권사가 브로커리지 서비스를 제공하고 상품에 문제가 생겼을 때, “운용은 운용사가 했고 위험성은 투자자 스스로 판단했기에 책임이 없다”고 주장하는 것과 같다.
하지만 전통 금융에서도 이런 주장은 받아들여지지 않는다. 증권사는 투자자에게 상품을 권유하고 거래 수수료를 받았기 때문에 권유의 책임에서 벗어날 수 없다. DeFi 프로토콜도 마찬가지다. 이들 역시 투자자의 거래에서 수익을 거둔 하나의 주체이기에 책임을 피할 수 없다.
특히 Morpho는 프론트엔드에 노출될 볼트를 선별하는 화이트리스트를 운영했다. 플랫폼 팀이 승인한 볼트만이 사용자들에게 노출됐다. 스트림의 xUSD를 사용한 고위험 볼트들이 이 화이트리스트에 포함돼 있었기에, 플랫폼이 위험한 전략에 암묵적 권유를 한 셈이다.
3.3. 시장의 등대 역할을 하지 못한 리서처들
리서처는 시장의 등대 역할을 해야 한다. 새로운 프로젝트를 발굴하고 트렌드를 분석하는 것도 중요하지만, 더 중요한 것은 시장에 위험을 알리는 것이다.
하지만 많은 리서치 업체들은 프로젝트 소개 글을 작성하고 새로운 네러티브를 발굴하는 데 집중한다. 정작 업계 내 위험을 알리고 투자자를 보호하는 역할은 제대로 하지 못하고 있다. 시장 이면에 숨은 리스크는 깊이 다루지 않는다.
이번 스트림 파이낸스 사태도 마찬가지였다. xUSD의 18% APY는 시장에 널리 알려졌지만, 그 수익률을 만들어내는 구조적 위험에 대한 경고는 거의 없었다. 레버리지가 어떻게 쌓여 있는지, 청산 위험은 얼마나 되는지, 담보 자산의 유동성은 충분한지 같은 핵심 질문들이 제기되지 않았다.
타이거리서치 또한 이 책임에서 자유롭지 못하다. 가장 많은 시간을 시장을 살피는데에 쓰면서 이면에 숨은 위험을 먼저 파악하고 경고했어야 했다. 리서처로서 본연의 역할을 다하지 못한 것에 대해 깊이 반성한다.
4. 현재 구조는 옳은가?
현재는 책임 소재를 넘어 근본적으로 리스크 큐레이터들이 각자의 볼트를 관리하는 구조 자체에 대한 논쟁이 이어지고 있다.
현재 디파이 랜딩 프로토콜은 크게 두 가지 구조로 나뉜다.
AAVE처럼 하나의 통합된 풀에서 한 체계에서 자산이 운용되는 형태와, Morpho와 Euler처럼 유저의 자산이 공급된 볼트를 개별 큐레이터들이 독립적으로 운영하는 방식이다.
AAVE는 이번 리스크 큐레이터 이슈와 정반대 구조에 있었다. 이 때문에 AAVE의 Stani Kulechov가 직접 나서 독립 볼트 구조를 비판하고 있다. 그는 큐레이터들이 차별화를 위해 과도한 리스크를 떠안게 되고, 한 번의 큰 실패가 전체 생태계의 신뢰를 무너뜨릴 수 있다고 지적했다.
반면 독립 볼트 구조를 대표하는 Morpho의 Paul Frambot은 다른 관점을 제시한다. 볼트는 온체인 펀드와 같다. 전통 펀드도 성과가 좋은 것도 있고 그렇지 않은 것도 있다. 진정한 개방형 탈중앙화 시스템을 구축하려면 이를 받아들이고 관리해야 한다는 입장이다.
구조적으로 무엇이 옳다고 단정하기는 어렵다.
통합된 풀은 일관된 리스크 관리가 가능하지만 획일화된 전략만 제공할 수 있다. 반면 독립 볼트 구조는 각 큐레이터가 고유한 전략을 실험할 수 있는 창의성을 제공한다. 리스크 관리가 제대로 이루어진다면, 이는 DeFi만이 가능한 금융 혁신의 토대가 될 수 있다.
결국 중요한 것은 구조 그 자체가 아니다. 어떤 구조를 선택하든 투명성과 책임이 수반되어야 한다. DeFi가 수조 달러 규모로 성장하려면 인프라와 리스크 관리의 분리는 필요하다. 다만 그 분리가 책임의 회피로 이어져서는 안 된다.
5. 리스크 관리의 중요성
DeFi의 무한한 확장성은 끝없는 레버리지 젠가를 만들었다. 이번 붕괴는 시작일 뿐이다. 누군가 또 다른 xUSD를 들고 나오는 한, 이 젠가 게임은 멈추지 않을 것이다.
그렇다면 해법은 무엇일까? 이제 우리는 “리스크 관리”에 집중해야 한다. 두 가지 방향에서 접근이 필요하다. 첫째, 독립된 평가 기관을 통한 객관적 리스크 측정이다. 둘째, 운영 주체에게 직접적인 책임을 부과하는 구조적 장치다.
먼저, 독립된 신뢰 기관이 없는 DeFi에는 최소한의 신뢰 체계가 필요하다. 금융감독원처럼 ‘승인/불가’를 결정하는 기관이 아니라, S&P나 무디스처럼 위험을 객관적으로 평가하는 ‘신용 등급(Rating)’ 시스템이 절실하다.
다행히 업계는 이미 움직이고 있다. 여러 프로젝트들이 Yield Risk Rating 시스템 구축에 나섰다. 오라클 기반 신용 평가, 암호학적으로 증명된 볼트 데이터 제공, 실시간 리스크 대시보드, 수익률 비교 도구 등 다양한 접근 방식이 시도되고 있다. 이러한 움직임은 DeFi가 더 투명하고 안전한 생태계로 발전하기 위한 필수적인 과정이다.
평가 시스템만으로는 부족하다. 운영자의 책임감을 강화하기 위한 슬래싱(Slashing) 구조 도입 또한 필요할 것이다. 큐레이터가 일정 금액을 담보로 걸고, 부실 운영 시 이를 몰수하는 방식이다. 책임 없는 운영을 구조적으로 차단하는 장치다.
독립적인 평가 시스템과 운영자 책임 구조. 이 두 가지가 자리 잡는다면 투자자들에게 최소한의 신뢰를 줄 수 있을 것이다. 하지만 이는 충분하지 않다. 생태계의 모든 참여자들이 단기 수익이 아닌 장기적 관점에서 행동해야 한다. 큐레이터는 과도한 레버리지 대신 지속 가능한 수익률을, 프로토콜은 수수료 극대화보다 안정성을, 리서처는 홍보보다 객관적 분석을 우선해야 한다.
이번 사태가 참사로만 남는 것이 아니라, DeFi가 더 안전하고 성숙한 시스템으로 진화하는 발판이 되길 바란다.
Joel Mun 의 도움이 없었더라면 해당 리포트 역시 없었을 것입니다.
감사의 말씀을 전합니다.
🐯 More from Tiger Research
이번 리서치와 관련된 더 많은 자료를 읽어보세요.Disclaimer
이 보고서는 신뢰할 수 있는 자료를 바탕으로 작성되었습니다. 그러나 정보의 정확성, 완전성, 그리고 적합성을 명시적으로나 암시적으로 보증하지 않습니다. 당사는 본 보고서나 그 내용을 이용함에 따른 모든 손실에 대해 책임을 지지 않습니다. 이 보고서의 결론과 권고사항, 예상, 추정, 전망, 목표, 의견 및 관점은 작성 당시의 정보를 바탕으로 하며 예고 없이 변경될 수 있습니다. 또한 타인 및 타조직의 의견과 일치하지 않거나 반대될 수 있습니다. 이 보고서는 정보 제공의 목적으로 작성되었으며, 법률, 사업, 투자, 또는 세금에 관한 조언으로 간주되어서는 안 됩니다. 또한 증권이나 디지털 자산에 대한 언급은 설명을 위한 것일 뿐, 투자 권고나 투자 자문 서비스 제공을 제안하는 것이 아닙니다. 이 자료는 투자자나 잠재적 투자자를 대상으로 하지 않았습니다.
타이거리서치 리포트 이용 안내
타이거리서치는 리포트의 공정 사용을 지지합니다. 이는 공익적 목적으로 콘텐츠를 인용하되 상업적 가치에 영향을 주지 않는 범위에서의 넓은 사용을 허용하는 원칙입니다. 공정 사용 규칙에 따라, 리포트를 사전 허가 없이 사용할 수 있으나, 타이거리서치 리포트를 인용 시에는 1) 출처로 ‘타이거리서치’를 분명히 밝히고, 2) 타이거리서치 로고를 포함시켜야 합니다. 자료를 재구성하여 출판할 경우에는 별도의 협의가 요구됩니다. 사전 허가 없는 사용은 법적 조치를 초래할 수 있습니다.
