업계에서 조용히 많이 나오는 이야기입니다. 정리할 필요가 있다고 생각했습니다.
The Defiant 보도에 따르면 Kelp DAO의 rsETH 익스플로잇으로 발생한 손실을 복구하기 위해 DeFi United가 모금을 진행 중이며, Aave DAO는 25,000 ETH를 복구 펀드에 투입하는 안건을 논의하고 있습니다. 공포탐욕지수가 33(Fear)을 기록하며 시장 전반에 불안이 깔린 가운데, 실제 프로토콜에서 해킹이 발생했을 때 자금이 어떻게 복구되는지, 개인 투자자는 무엇을 해야 하는지에 대한 질문이 쏟아지고 있습니다.
DeFi 프로토콜은 중앙화된 운영 주체가 없습니다. 그렇기 때문에 해킹이 발생해도 은행처럼 고객센터에 전화해서 계좌를 동결하거나 보험금을 청구할 수 없습니다. 대신 DAO 거버넌스라는 분산 의사결정 구조를 통해 복구 절차가 진행됩니다. 이 글에서는 Kelp 사례를 중심으로 DeFi 해킹 발생 시 실제로 어떤 일이 벌어지는지, 개인 투자자가 취할 수 있는 구체적인 대응 방법은 무엇인지 단계별로 짚어보겠습니다.
Kelp 익스플로잇은 어떻게 발생했나
Kelp DAO는 이더리움 유동성 스테이킹 토큰을 발행하는 프로토콜입니다. 사용자가 ETH를 예치하면 rsETH라는 유동성 토큰을 받고, 이 토큰은 다른 DeFi 프로토콜에서 담보로 사용하거나 거래할 수 있습니다. 문제는 rsETH의 가격 산정 메커니즘에서 발생했습니다.
공격자는 rsETH의 오라클 가격 피드를 조작해 실제 가치보다 훨씬 높은 가격으로 인식되도록 만들었습니다. 그 결과 공격자는 적은 양의 rsETH를 담보로 과도한 양의 다른 자산을 빌려갈 수 있었고, 프로토콜은 순식간에 수천만 달러 규모의 손실을 입었습니다. 정확한 손실 규모는 온체인 데이터 분석이 진행 중이지만, 초기 추산으로는 약 3,500만 달러 상당의 자산이 빠져나간 것으로 보입니다.
이 사건이 주목받는 이유는 단순히 한 프로토콜의 문제가 아니라, rsETH가 Aave를 비롯한 여러 DeFi 프로토콜에서 담보 자산으로 사용되고 있었기 때문입니다. Kelp의 문제가 연쇄적으로 다른 프로토콜의 유동성과 대출 건전성에 영향을 미칠 수 있는 구조였습니다.
Aave DAO는 왜 25,000 ETH를 투입하려 하나
Aave는 DeFi 생태계에서 가장 큰 대출 프로토콜 중 하나입니다. 현재 약 150억 달러 규모의 TVL(Total Value Locked)을 보유하고 있으며, 사용자들은 다양한 암호화폐를 예치하고 빌리는 데 Aave를 사용합니다. Kelp의 rsETH도 Aave 프로토콜 내에서 담보 자산으로 활용되고 있었습니다.
Aave DAO는 현재 25,000 ETH(약 4,700만 달러 상당)를 rsETH 복구 펀드에 투입하는 제안을 검토 중입니다. 이 자금은 Aave 프로토콜이 보유한 재무(Treasury)에서 나옵니다. DAO 거버넌스 구조상, 이런 대규모 자금 집행은 토큰 보유자들의 투표를 거쳐야 합니다.
“Aave의 결정은 단순히 한 프로토콜을 돕는 차원이 아니라, DeFi 생태계 전체의 신뢰를 지키기 위한 선제적 대응입니다. rsETH 가격 붕괴가 Aave 내 청산 연쇄 반응으로 이어질 경우 더 큰 손실이 발생할 수 있기 때문입니다.” — DeFi 리서치 애널리스트 논평
Aave의 이러한 움직임은 DeFi에서 ‘시스템 리스크’가 어떻게 관리되는지를 보여주는 사례입니다. 전통 금융에서는 중앙은행이나 예금보험공사가 개입하지만, DeFi에서는 프로토콜 간 협력과 DAO 의사결정이 그 역할을 대신합니다.
DeFi United는 무엇이고 어떻게 작동하나
DeFi United는 Kelp 익스플로잇 복구를 위해 결성된 임시 협력체입니다. 여러 DeFi 프로토콜, 투자자, 보안 전문가들이 모여 자금을 모으고 복구 계획을 조율하고 있습니다. 이런 구조는 DeFi 생태계에서 처음 등장한 것은 아닙니다.
과거 Poly Network 해킹 사건에서도 유사한 방식으로 여러 주체가 협력해 약 6억 달러 상당의 자산 중 대부분을 회수한 사례가 있습니다. 다만 Poly Network의 경우 해커가 스스로 자금을 반환했다는 점에서 특이했고, 대부분의 경우 복구는 훨씬 복잡한 과정을 거칩니다.
DeFi United의 복구 절차는 크게 세 단계로 나뉩니다. 첫째, 피해 규모를 정확히 산정합니다. 온체인 데이터를 분석해 어떤 지갑에서 얼마나 빠져나갔는지 추적합니다. 둘째, 복구 자금을 모집합니다. Aave 같은 큰 프로토콜뿐 아니라 개인 투자자들도 자발적으로 기부할 수 있습니다. 셋째, 피해자들에게 자금을 배분합니다. 이 과정에서 누가 얼마나 손해를 봤는지, 어떤 비율로 보상할 것인지에 대한 투명한 기준이 필요합니다.
문제는 이 모든 과정이 법적 강제력 없이 자발적 합의로 이뤄진다는 점입니다. 누군가 합의를 거부하거나 배분 기준에 불만을 가질 경우 복구는 지연되거나 무산될 수 있습니다.
개인 투자자는 해킹 발생 직후 무엇을 해야 하나
DeFi 프로토콜에서 해킹이 발생했다는 소식을 들으면, 가장 먼저 해야 할 일은 본인의 지갑 주소와 예치 내역을 확인하는 것입니다. Etherscan 같은 블록체인 탐색기에서 본인 지갑 주소를 검색하면 실시간으로 자산 상태를 확인할 수 있습니다.
두 번째는 해당 프로토콜의 공식 채널을 확인하는 것입니다. Discord, Twitter, 공식 블로그에서 프로토콜 팀이 어떤 대응을 하고 있는지, 사용자들에게 어떤 조치를 권고하는지 공지가 나옵니다. 이때 주의할 점은 가짜 계정이나 피싱 링크를 조심해야 한다는 것입니다. 해킹 사건이 발생하면 사기꾼들도 함께 활개를 칩니다.
세 번째는 남아 있는 자금을 안전한 곳으로 옮기는 것입니다. 만약 해킹이 특정 스마트 컨트랙트의 취약점을 공격한 것이라면, 같은 컨트랙트를 사용하는 다른 자산도 위험할 수 있습니다. 가능한 한 빨리 자금을 인출해 개인 지갑으로 옮기는 것이 안전합니다. 다만 패닉 상태에서 성급하게 거래하다가 높은 가스비를 내거나 잘못된 주소로 전송하는 실수를 하지 않도록 주의해야 합니다.
네 번째는 복구 절차에 참여하는 것입니다. 많은 경우 피해자들이 본인의 손실을 증명하고 복구 대상 명단에 등록해야 합니다. 이 과정에서 지갑 주소, 거래 해시, 예치 시점과 금액 등을 제출해야 할 수 있습니다. 이런 정보를 미리 정리해두면 나중에 복구 신청이 훨씬 수월합니다.
검색량 급증 코인들이 보여주는 시장 심리
공포탐욕지수가 33을 기록하며 시장 전반에 불안이 깔린 가운데, 검색량 급증 코인 목록에는 Orca, RaveDAO, USD.AI, Pudgy Penguins 같은 이름이 올라왔습니다. 이들은 시총 순위로 보면 90위권에서 300위권 사이에 포진한 중소형 프로젝트들입니다.
Orca는 솔라나 생태계의 DEX이고, Pudgy Penguins는 NFT 기반 프로젝트입니다. 이들이 검색량 상위에 오른 이유는 단순합니다. 비트코인이나 이더리움 같은 대형 자산이 횡보하거나 하락할 때, 소액 투자자들은 변동성이 큰 중소형 코인으로 눈을 돌립니다. 특히 공포 국면에서는 ‘어딘가에는 기회가 있을 것’이라는 심리가 작동합니다.
반면 Official Trump 토큰은 24시간 동안 8.5% 급락했습니다. 거래량 대비 시총 비율이 1.00으로 유동성이 충분하지만, 밈코인 특성상 뉴스나 소셜미디어 분위기에 민감하게 반응합니다. 공포탐욕지수가 낮을 때 밈코인은 가장 먼저 타격을 받는 경향이 있습니다. 실질적인 유틸리티나 프로토콜 수익이 없기 때문에 투자자들이 리스크를 회피하려 할 때 가장 먼저 매도 대상이 됩니다.
이런 움직임은 DeFi 해킹 사건과도 무관하지 않습니다. Kelp 익스플로잇 소식이 퍼지면서 DeFi 프로토콜 전반에 대한 신뢰가 흔들렸고, 일부 자금이 상대적으로 단순한 구조의 자산이나 중앙화 거래소로 이동했을 가능성이 높습니다.
DAO 거버넌스가 해킹 복구에서 가지는 한계
Aave의 25,000 ETH 투입 제안은 아직 확정되지 않았습니다. DAO 투표는 통과될 수도 있고, 부결될 수도 있습니다. 만약 부결된다면 Kelp 피해자들은 다른 복구 경로를 찾아야 합니다.
DAO 거버넌스는 분산화된 의사결정이라는 장점이 있지만, 속도와 일관성에서는 약점을 드러냅니다. 투표 과정이 길어질수록 피해자들은 불확실한 상태로 기다려야 하고, 그 사이 시장 상황이 악화될 수 있습니다. 또한 대형 토큰 보유자의 의견이 과도하게 반영될 수 있다는 점도 비판받습니다.
전통 금융에서는 예금자보호법 같은 제도가 있어 일정 금액까지는 보장됩니다. DeFi에는 그런 장치가 없습니다. 보험 프로토콜이 존재하긴 하지만, 커버리지가 제한적이고 청구 절차도 복잡합니다. Nexus Mutual 같은 DeFi 보험 프로토콜은 스마트 컨트랙트 리스크에 대한 보험을 제공하지만, 가입자 수가 많지 않고 보상 한도도 낮은 편입니다.
자주 묻는 질문
DeFi 프로토콜에서 해킹이 발생하면 자금을 100% 돌려받을 수 있나?
대부분의 경우 전액 복구는 어렵습니다. 복구율은 프로토콜의 재무 상태, DAO 투표 결과, 해커 추적 성공 여부에 따라 달라집니다. 과거 사례를 보면 평균적으로 30~70% 수준의 복구율을 보입니다.
Aave 같은 대형 프로토콜은 왜 다른 프로젝트 복구에 자금을 지원하나?
rsETH가 Aave 내에서 담보 자산으로 사용되고 있기 때문에, Kelp의 문제가 Aave 프로토콜의 건전성에도 영향을 미칠 수 있습니다. 또한 DeFi 생태계 전체의 신뢰를 지키는 것이 장기적으로 Aave에도 이익이 됩니다.
DeFi 보험에 가입하면 해킹 손실을 보상받을 수 있나?
Nexus Mutual이나 InsurAce 같은 DeFi 보험 프로토콜이 있지만, 커버리지가 제한적이고 보험료가 비쌉니다. 또한 보상 청구 과정에서 DAO 투표가 필요한 경우가 많아 시간이 오래 걸릴 수 있습니다.
DeFi는 여전히 실험적인 금융 시스템입니다. Kelp 사건은 스마트 컨트랙트 리스크가 단순한 이론이 아니라 실제로 수천만 달러 규모의 손실로 이어질 수 있음을 다시 한번 보여줬습니다. Aave 같은 주요 프로토콜이 어떻게 대응하는지, DAO 투표가 어떤 결과를 낼지는 앞으로 몇 주 안에 드러날 것입니다.
당신이 DeFi 프로토콜에 자금을 예치하고 있다면, 지금 이 순간에도 본인의 리스크를 정확히 이해하고 있는지 점검할 필요가 있습니다. 복구 절차가 있다 해도 그것이 완벽한 안전망은 아닙니다.