홈으로 돌아가기

켈프 해킹: 암호화폐 프로토콜에서 2억 9,200만 달러 탈취

2026년 4월 18일, 해커들이 LayerZero 브리지의 취약점을 악용해 켈프 프로토콜에서 2억 9,200만 달러를 인출했다. 탈취된 rsETH는 대출 플랫폼에서 담보로 사용되어 DeFi 전반에 걸친 체계적 위험을 초래했다. 시장은 AAVE 및 ETH 가격 하락으로 반응했다.

2026년 최대 규모 해킹: 켈프에서 수 분 만에 2억 9,200만 달러 사라짐

Predict

기사 기반 시그널

신호8/10
방향down
2-5%
기간1-3d
신뢰도medium

요인

The $292M Kelp exploit triggered cascading risk across major DeFi lending protocols that accepted stolen rsETH as collateral, forcing emergency freezes and reducing liquidity. This creates short-term selling pressure on ETH as users de-risk and protocols adjust. Key counter-signal: core Ethereum staking (stETH) remains unaffected, limiting systemic fallout.

해당 날짜의 모든 예측 보기

분석 신호일 뿐이며 투자 조언이 아닙니다.

Advertisement 728x90

해커, 켈프 프로토콜에서 2억 9200만 달러 탈취: 시장 영향 및 향후 전망

2026년 4월 18일 토요일, 정체를 알 수 없는 공격자들이 암호화폐 생태계 최대 규모 프로토콜 중 하나인 켈프(Kelp)에서 거의 3억 달러를 탈취했습니다. 이 숫자는 단순한 보고서 속 기록이 아닙니다. 수십만 명의 사용자가 자금에 대한 접근을 잃었을 가능성이 있으며, 탈중앙화 대출 플랫폼들은 대규모 디폴트 위기에 직면했습니다. 이런 사건은 암호화폐 인프라의 ‘가장 안전한’ 부분조차 얼마나 취약할 수 있는지를 여실히 보여줍니다.

켈프란 무엇이며, 왜 중요한가?

켈프는 사용자가 이더리움(ETH)을 완전히 잠그지 않고도 수익을 창출할 수 있도록 해주는 유동성 리스테이킹 프로토콜입니다. 이를 위해 켈프는 rsETH라는 특수 토큰을 발행하는데, 이 토큰은 다른 애플리케이션에서도 활용할 수 있습니다—예를 들어 담보로 대출받거나 거래하는 데 사용할 수 있죠. 마치 은행에 돈을 예금하되, 통장 대신 바로 사용 가능한 체크카드를 받는 것과 유사합니다.

이 프로토콜은 일명 크로스체인 브리지(cross-chain bridge) 기술을 통해 운영됩니다. 이 기술은 이더리움에서 아비트럼(Arbitrum) 등 서로 다른 블록체인 간 자산 이체를 가능하게 합니다. 해당 브리지는 업계에서 가장 안전한 인프라 중 하나로 평가받는 LayerZero 기반으로 구축되어 있습니다.

Google AdInline article slot

공격은 어떻게 전개되었는가?

공격자들은 켈프의 핵심 코드에 존재하는 취약점을 악용하지 않았습니다. 대신, 브리지의 검증 시스템을 속였습니다. 모스크바에서 상트페테르부르크로 소포를 보내는 상황을 상상해 보세요. 여기서 택배사는 배송 완료 확인을 요구합니다. 해커들은 이 확인을 위조했고, 시스템은 소포가 실제로 출발하지도 않은 상태에서 자동으로 물품을 인도해 버렸습니다.

구체적으로 말하자면, 공격자들은 브리지가 아비트럼 네트워크에서 rsETH 토큰이 ‘소각(burned)’됐다고 믿도록 속였습니다(이는 일반적으로 이더리움에서 동일한 양의 rsETH를 언락하는 절차입니다). 그러나 실제로는 어떤 소각도 이루어지지 않았습니다. 그 결과, 켈프의 자금에서 116,500 rsETH—즉 2억 9200만 달러 상당—이 유출됐습니다.

흥미롭게도, 공격 전 단계에서 해커들은 익명 거래 서비스인 Tornado Cash를 통해 초기 자금을 확보했습니다. 이를 통해 가스 수수료를 지불하고 복잡한 일련의 조작을 실행할 수 있었습니다.

Google AdInline article slot

탈취된 자금은 즉시 신규 대출 담보로 활용됨

가장 심각한 점은, 해커들이 탈취한 자산을 단순히 은닉하지 않았다는 사실입니다. 그들은 rsETH를 즉시 주요 대출 플랫폼의 담보로 활용했습니다:

  • Aave V3 — ETH 약 1억 2000만 달러 차입;
  • Compound V3Euler — 추가로 약 1억 1600만 달러 차입;
  • 총 차입 금액은 2억 3600만 달러를 넘었습니다.

이 플랫폼들은 담보가 도난당했다는 사실을 전혀 알지 못했습니다. 자산 가격을 제공하는 오라클(특화된 서비스)은 rsETH의 가치를 정상적으로 확인했고, 스마트 계약 역시 표준 로직을 따라 작동했습니다. 이제 Aave와 Compound 등은 해커가 상환하지 않을 경우 수억 달러의 손실을 입을 위험에 처해 있습니다. 그런데 해커에게는 상환할 동기 자체가 전혀 없습니다.

생태계의 대응

공격 발생 46분 후, 켈프 팀은 추가로 1억 달러의 자금 유출을 막기 위해 핵심 계약을 동결시켰습니다. 그러나 이미 파장은 퍼져나가고 있었습니다:

Google AdInline article slot
  • Aave는 rsETH 관련 모든 운영을 일시 중단;
  • SparkLend와 Fluid도 해당 토큰 지원을 비활성화;
  • Lido Finance는 베일트 earnETH를 일시 중단(단, 핵심 토큰 stETH와 wstETH는 영향 없음);
  • Ethena는 LayerZero 브리지를 6시간 동안 비활성화.

시장은 즉각 반응했습니다: AAVE는 18% 하락, ETH는 2% 하락했으며, stETH는 일시적으로 4% 하락했습니다.

주요 교훈

  • 공격은 코드 결함이 아니라 크로스체인 상호운용성의 논리 자체를 겨냥했습니다. 이는 DeFi에 대한 새로운 위협 수준을 나타냅니다.
  • 탈취된 자산은 레버리지 부채 포지션을 만드는 무기로 활용됐으며, 이는 대출 프로토콜 전반에 걸쳐 시스템적 위험을 초래했습니다.
  • LayerZero는 명성이 높았음에도 불구하고, 증거 메시지(attestation messages) 조작에 취약함이 드러났습니다.
  • 켈프는 2차 공격을 막았지만, 아직 보상 계획을 발표하지 않았습니다.
  • rsETH는 여전히 유통 중이지만, 이에 대한 신뢰는 심각하게 훼손됐습니다.

일반 사용자에게 이 사건이 의미하는 바

자신이 직접 관리하는 월렛(self-custodied wallet)에 암호화폐를 보유하고 있다면, 자산은 안전합니다. 하지만 DeFi 애플리케이션—즉, 프로토콜을 통해 대출, 스테이킹 또는 거래를 하는 경우—이런 사건은 자산 평가액이나 서비스 이용 가능성에 직접적인 영향을 줄 수 있습니다. 예를 들어, 대출 금리가 급등하거나 특정 토큰의 가치가 일시적으로 하락할 수 있습니다. 핵심 교훈은 다음과 같습니다: ‘검증된’ 프로토콜조차도 복잡한 상호 의존성에 기반하며, 단 하나의 실패 지점이 연쇄적 붕괴를 유발할 수 있습니다.

— Editorial Team

Advertisement 728x90

다음 읽기

파트너 뉴스