Key Takeaways
4월 18일 KelpDAO 브릿지 단일 노드 취약점으로 116,500 rsETH(~$292M)가 무담보 발행됐고, 공격자는 이를 Aave에 담보로 맡겨 실물 자산 $190M을 대출해 갔다. Aave는 회수 불가능한 부실 대출을 떠안았고, 48시간 내 DeFi 전체 TVL $13B이 증발했다.
Aave는 DeFi의 금리 기준점이자 Ethena, Lido, EtherFi 등 수십 개 프로토콜의 핵심 인프라다. Aave가 흔들리면 그 위에 쌓인 구조 전체가 연쇄 붕괴할 수 있어, 생태계 참여자들이 자구책으로 DeFi United를 결성했다.
문제는 자금이다. 자동 보험 Umbrella의 WETH 커버 한도는 $55.1M인데 실제 손실은 최대 $230M이고, 현재 모금액은 목표 $100M의 절반도 안 된다. 부족분은 기존 예치자에게 전가될 수 있어 뱅크런 가속화가 현실적 위험이다.
DeFi United에 참여하는 프로젝트가 함께 수일 안에 목표액을 채우느냐, 혹은 공격자를 잡을 수 있는지가 DeFi 신뢰 회복의 분수령이 될 것이다.
2026년 4월 18일, KelpDAO의 LayerZero 브릿지에서 116,500 rsETH, 약 2억 9,200만 달러가 빠져나갔다. 스마트 컨트랙트 버그가 원인이 아니었다. 브릿지가 메시지 검증에 쓴 노드가 단 하나였고, 그 노드가 거짓 정보를 전송했다. 실제 담보 없는 rsETH가 발행된 것이다.
공격자는 탈취한 rsETH를 시장에 풀지 않았다. 89,567 rsETH를 Aave에 담보로 맡기고 ETH를 비롯한 자산 1억 9,000만 달러를 빌렸다. 담보는 가짜였고, 빌린 자산은 실물이었다. Aave는 돌려받을 수 없는 대출을 떠안았다.
Lido: 2,500 stETH (~$5.8M)
EtherFi: 5,000 ETH (~$11.5M)
Golem: 1,000 ETH (~$2.3M)
Stani Kulechov: 개인 5,000 ETH (~$11.5M)
Mantle: 30,000 ETH 대출 (Lido APR +1%, 3년 만기)
기타(Ethena, Ink/Tydro): 금액 미공개
소식이 퍼지자 업계가 움직였다. Aave 생태계 프로젝트들이 모여 “DeFi United”를 결성했다. 현재까지 확인된 참여자는 아래와 같다. 공식적인 연합이 아닌 만큼, 관련 프로토콜의 추가 참여 가능성은 열려 있다.
왜 지금인가?
탈취 직후 Aave TVL은 $6.6B 급감했다. 48시간 안에 DeFi 전체 TVL에서 $13B가 사라진 것이다.
하지만 이는 Aave만의 문제가 아니다. Aave는 DeFi 생태계의 금리 기준점이다. Aave의 담보 구조와 이자율을 참조하는 생태계가 많다. 이 기준점이 흔들리면 여러 생태계에서 “얼마를, 어떤 담보로, 어떤 금리에 빌릴 수 있는가”라는 계산 자체가 무너진다.
Aave 위에는 수십 개 프로토콜의 수익 구조가 얹혀 있다. Ethena는 $412M 규모의 USDe 예치 채널을 Aave에 연결했다. Lido와 EtherFi는 stETH·weETH 담보 시장의 핵심 인프라로 Aave를 쓴다. Aave와 관련 없는 프로젝트를 찾는 것이 더 힘든 현실이다.
쉽게 이해하기
대형 은행 한 곳이 갑자기 모든 대출을 동결했다고 생각해보자. 내 통장은 멀쩡하고, 다른 은행도 정상이다. 그런데 그 은행에서 돈을 빌려 투자하거나 사업을 운영하던 사람들은 한순간에 자금줄이 끊긴다. 이들이 급하게 다른 자산을 팔기 시작하면 시장 전체가 흔들린다.
Aave가 DeFi에서 바로 그 역할이다. Aave에 담보를 맡기고 자금을 빌려 운용하던 프로토콜과 개인 투자자들이 일제히 포지션을 정리하기 시작했다. 문제는 규모다. Aave 하나에 연결된 프로토콜이 수십 개, 묶인 자금은 수십억 달러다.
뭉치면 살고 흩어지면 죽는다
DeFi United 각 참여자의 기여 방식은 포지션에 따라 다르다. Lido, EtherFi, Golem은 기부 형태로 참여했다. Mantle은 다르다. 30,000 ETH 조건부 대출을 제안하면서 Lido APR +1% 금리, 3년 만기, 130,000 AAVE 거버넌스 위임을 조건으로 걸었다. 생태계 안정화에 기여하는 동시에 트레저리 수익과 거버넌스 참여권을 함께 챙기는 구조다.
셈법은 참여자마다 다르지만, 움직인 이유는 하나다. Aave 회복에 실패하면 자신들도 버틸 수 없기 때문이다.
문제는 속도와 규모다. Aave는 Umbrella라는 자동 보험 시스템을 갖추고 있다. 프로토콜에 손실이 생기면 여기에 자산을 맡긴 사람들이 먼저 손실을 흡수한다. 이번 사태에서 Umbrella가 커버할 수 있는 금액은 약 $55.1M이었다. 하지만 손실 규모는 최대 $230M이다. $55.1M으로는 턱없이 부족하다. 현재까지 공개된 기여액을 합산하면 약 $100M 목표의 절반에도 못 미친다. 나머지를 채울 주체가 아직 불분명하다.
(전체 스테이킹된 자금은 $251.8 상당이지만 Umbrella는 자산별로 격리되어 있어 USDC·USDT 스테이킹이 WETH 결손을 커버하지 않음.)
Umbrella가 감당하고 남은 손실은 결국 아무 잘못 없는 ETH 예치자에게 전가된다. 부족분은 시스템 안에 남아 있는 사람들이 나눠 떠앉기에 뱅크런이 가속화될 수 있다. 결국 DeFi United는 Aave와 이와 관계된 이들의 살아남기 위한 마지막 방책이며 Aave가 얼마나 시장에서 중요한 역할인지를 다시 한 번 보여주는 사례이다.
DeFi United에 참여하는 프로젝트가 함께 수일 안에 목표액을 채우느냐, 혹은 공격자를 잡을 수 있는지가 DeFi 신뢰 회복의 분수령이 될 것이다.
Disclaimer
이 보고서는 신뢰할 수 있는 자료를 바탕으로 작성되었습니다. 그러나 정보의 정확성, 완전성, 그리고 적합성을 명시적으로나 암시적으로 보증하지 않습니다. 당사는 본 보고서나 그 내용을 이용함에 따른 모든 손실에 대해 책임을 지지 않습니다. 이 보고서의 결론과 권고사항, 예상, 추정, 전망, 목표, 의견 및 관점은 작성 당시의 정보를 바탕으로 하며 예고 없이 변경될 수 있습니다. 또한 타인 및 타조직의 의견과 일치하지 않거나 반대될 수 있습니다. 이 보고서는 정보 제공의 목적으로 작성되었으며, 법률, 사업, 투자, 또는 세금에 관한 조언으로 간주되어서는 안 됩니다. 또한 증권이나 디지털 자산에 대한 언급은 설명을 위한 것일 뿐, 투자 권고나 투자 자문 서비스 제공을 제안하는 것이 아닙니다. 이 자료는 투자자나 잠재적 투자자를 대상으로 하지 않았습니다.
Terms of Usage
타이거리서치는 리포트의 공정 사용을 지지합니다. 이는 공익적 목적으로 콘텐츠를 인용하되 상업적 가치에 영향을 주지 않는 범위에서의 넓은 사용을 허용하는 원칙입니다. 공정 사용 규칙에 따라, 리포트를 사전 허가 없이 사용할 수 있으나, 타이거리서치 리포트를 인용 시에는 1) 출처로 ‘타이거리서치’를 분명히 밝히고, 2) 타이거리서치의 브랜드 가이드라인에 맞는 로고(Black/White)를 포함시켜야 합니다. 자료를 재구성하여 출판할 경우에는 별도의 협의가 요구됩니다. 사전 허가 없는 사용은 법적 조치를 초래할 수 있습니다.
