3,200억이 46분 만에 사라졌다

토요일 오후 6시 35분(UTC), 누군가 버튼을 눌렀다. 46분 뒤, Kelp DAO의 긴급 팀이 컨트랙트를 얼렸을 때 이미 116,500개의 rsETH—시가로 약 3,200억원—는 사라진 뒤였다.

무슨 일이 일어났나

Kelp DAO는 이더리움을 예치하면 EigenLayer를 통해 추가 수익을 얹어주는 '리퀴드 리스테이킹' 프로토콜이다. 사용자가 ETH를 맡기면 rsETH라는 영수증 토큰을 돌려주고, 이 토큰은 LayerZero의 OFT 표준을 통해 Base, Arbitrum, Linea, Blast 등 20개 이상의 체인에서 유통된다.

문제는 그 20개 체인을 연결하는 브리지였다. 공격자는 LayerZero의 크로스체인 메시징 레이어를 속여 '다른 네트워크에서 유효한 명령이 도착했다'는 신호를 만들어냈다. 브리지는 이 가짜 명령을 믿고 공격자가 지정한 주소로 rsETH를 풀었다. 탈취된 116,500 rsETH는 rsETH 전체 유통량(630,000개)의 약 18%에 해당한다.

긴급 일시정지가 이뤄진 건 오후 6시 21분(UTC). 이후 6시 26분과 6시 28분, 공격자는 추가로 40,000 rsETH(약 1,100억원)를 빼내려 했지만 두 차례 모두 실패했다. Kelp DAO의 공식 성명은 해킹 발생 약 3시간 뒤인 오후 8시 10분에야 X(트위터)에 올라왔다.

왜 이게 내 문제인가

브리지가 보유하던 rsETH는 20개 L2 체인에 배포된 래핑 토큰의 '담보'였다. 그 담보가 통째로 사라졌다. 즉, 이더리움 메인넷이 아닌 다른 체인에서 rsETH를 들고 있는 사람들은 지금 이 순간 자신의 토큰 아래에 실질적인 뒷받침이 있는지 알 수 없는 상태다.

광고

광고주 모집

[email protected]

광고

이 불확실성은 곧바로 연쇄 반응을 일으켰다.

Aave는 V3·V4의 rsETH 마켓을 즉각 동결했고, 창업자 Stani Kulechov는 Aave 컨트랙트 자체는 손상되지 않았다고 해명했다. AAVE 토큰은 약 10% 급락했다. SparkLend와 Fluid도 rsETH 마켓을 얼렸다. Lido Finance는 rsETH 익스포저가 있는 earnETH 상품의 추가 예치를 중단했다(stETH·wstETH와 핵심 스테이킹 프로토콜은 영향 없음). Ethena는 자사 LayerZero OFT 브리지를 약 6시간 예방 차원에서 멈췄다—rsETH 익스포저는 없다고 밝혔지만.

이번 2,920억원(약 3,200억원) 규모의 탈취는 2026년 DeFi 최대 해킹 사건이 됐다. 직전 기록은 4월 1일 북한 연계 해커 그룹이 솔라나 기반 Drift 프로토콜에서 빼간 약 3,100억원이었다.

더 큰 그림: 브리지는 왜 계속 뚫리나

2022년 Ronin(8,600억원), Wormhole(3,200억원), Nomad(2,200억원). 그리고 2026년 Kelp DAO. 크로스체인 브리지는 DeFi에서 가장 반복적으로 공격받는 지점이다. 이유는 구조적이다.

브리지는 서로 다른 블록체인의 '언어'를 번역하는 인터프리터다. 그 번역 과정에서 '이 명령이 진짜인가'를 검증하는 로직이 조금이라도 허술하면, 공격자는 가짜 명령을 진짜처럼 포장할 수 있다. LayerZero는 검증된 메시징 인프라로 평가받아왔지만, 이번 사건은 인프라 자체보다 그 위에서 작동하는 애플리케이션 레이어—즉 Kelp의 브리지 구현—에 취약점이 있었을 가능성을 시사한다. Kelp은 아직 정확한 우회 방법을 공개하지 않았다.

더 불편한 사실은 타이밍이다. CoW Swap, Zerion, Rhea Finance, Silo Finance까지, 올해 들어 크고 작은 DeFi 해킹이 수주 간격으로 이어지고 있다. 우연의 일치인지, 아니면 조직적 캠페인인지는 아직 불분명하다.