Kelp DAO 해킹, DeFi 보안의 붕괴를 알리다: AI 시대 첫 시스템 리스크 경고
핵심 요약 3가지
- Kelp DAO rsETH 해킹은 AI 기반 공격이 DeFi 보안 구조의 균열을 본격적으로 드러낸 사건이었다.
- 단일 검증자(SPoF) 장악으로 116,500개의 가짜 rsETH가 발행되며 Aave·Arbitrum 등 여러 프로토콜로 시스템 리스크가 확산되었다.
- 이번 사건은 크로스체인 메시징·브리지 구조·담보 검증 모델이 AI 시대에 맞게 재설계되어야 함을 보여주는 결정적 경고였다.
AI 시대, Kelp DAO 해킹은 DeFi 보안의 균열이 처음으로 명확히 드러난 순간이었다.
50초 쇼츠 영상
50초 영상으로 Kelp DAO 해킹이 어떻게 AI 시대 첫 시스템 리스크 경고가 되었는지 빠르게 확인해보세요.
AI 시대, DeFi 보안의 균열이 드러난 순간
Kelp DAO rsETH 브리지 해킹 사건 개요
2026년 4월 발생한 Kelp DAO rsETH 브리지 해킹은 단순한 자산 탈취 사건을 넘어, DeFi 보안 구조 전반에 균열이 생기고 있음을 보여준 결정적 순간이었습니다. 이번 사건은 단일 실패 지점(SPoF)이 얼마나 쉽게 무너질 수 있는지, 크로스체인 메시징이 얼마나 취약한 신뢰 구조 위에 서 있는지, 그리고 AI 기반 공격이 기존 보안 모델을 얼마나 빠르게 압도하고 있는지를 동시에 드러냈습니다.
이번 공격은 세 단계로 확산되었습니다. 먼저, 해커는 브리지 검증자를 장악해 존재하지 않는 rsETH 116,500개를 발행하는 1차 피해를 일으켰습니다. 이 가짜 자산은 곧바로 Aave에 담보로 예치되어 대량의 WETH를 반복 대출하는 2차 피해로 이어졌고, 이 과정에서 Aave에는 약 1억 9,600만 달러 규모의 잠재적 부실채무 위험이 발생했습니다. 마지막으로, 확보된 자산은 여러 체인으로 분산 이동하며 세탁되었고, 일부는 Arbitrum까지 유입되어 결국 30,766 ETH가 동결되는 3차 피해로 확산되었습니다.
이 글에서는 Kelp DAO 사건을 통해 드러난 구조적 리스크를 차근차근 살펴보며, DeFi가 앞으로 어떤 방향으로 재설계되어야 하는지에 대한 단서를 찾아봅니다.
1) 왜 1차 탈취 자산(rsETH 116,500개)이 ‘주 책임’인가
1차 피해
공격자는 LayerZero 브리지의 단일 검증자를 장악해 존재하지 않는 rsETH 116,500개를 발행했습니다. 이 조작된 자산이 모든 피해의 출발점이었고, 이후 Aave에서의 대량 대출과 여러 체인으로의 자산 이동은 모두 이 1차 조작의 파생 결과였습니다.
1차 피해는 모든 후속 피해의 근본 원인
Aave의 잠재적 부실채무(약 1억 9,600만 달러), ETH 탈취, Arbitrum로 유입된 자산 등은 모두 가짜 rsETH 발행이 없었다면 발생할 수 없는 구조적 결과였습니다.
2차·3차 피해는 1차 자산의 연쇄 반응
Aave 대출은 가짜 rsETH를 담보로 한 파생 피해였고, 동결된 30,766 ETH 역시 rsETH → Aave 대출 → ETH 변환의 흐름에서 나온 결과였습니다. 즉, 모든 피해는 1차 탈취 자산에서 기인했습니다.
2) 단일 실패 지점(Single Point of Failure)의 현실화
Kelp DAO rsETH 브리지는 peer contract 하나에 신뢰가 집중된 구조였습니다. 브리지는 peer contract가 전달하는 메시지를 그대로 신뢰했고, 메시지 검증 로직이 단일 지점에 집중되어 있었습니다.
공격자는 손상된 peer contract를 이용해 “자산이 잠겼다”는 거짓 메시지를 정상 메시지처럼 보이게 만들었고, 브리지는 이를 신뢰해 담보 없는(unbacked) rsETH를 발행했습니다.
결과적으로 단 하나의 컨트랙트 실패가 자산 발행 → 대출 → 시스템 리스크로 이어지는 구조적 취약성이 그대로 드러났습니다.
3) 크로스체인 메시징 보안의 취약성
이번 사건은 LayerZero 메시징 구조의 근본적 취약성을 드러냈습니다. 크로스체인 브리지는 DeFi에서 가장 위험한 영역이며, 메시지 검증이 무너지면 다음과 같은 문제가 발생합니다.
- 담보 없는 자산 발행
- 다른 체인에서 잘못된 상태 반영
- 전체 생태계 오염
Kelp DAO 브리지는 메시지의 진위를 단일 peer contract가 보증하는 구조였기 때문에, 이 지점이 손상되자 메시징 전체가 무력화되었습니다.
4) DeFi 보안 수준의 한계와 AI 기반 공격의 부상
최근 DeFi 해킹은 단순한 취약점 스캔을 넘어, 프로토콜 간 상호작용·메시징 구조·담보 모델의 허점을 조합적으로 분석하는 형태로 진화하고 있습니다.
특히 이번 사건을 포함한 최근 대형 해킹들은 AI 기반 자동화 공격 가능성이 제기되고 있습니다. AI는 다음을 인간보다 훨씬 빠르게 수행할 수 있습니다.
- 복잡한 브리지 구조 분석
- 메시지 검증 로직의 허점 탐색
- 담보 모델의 경계 조건 테스트
- 여러 체인의 상태 변화를 실시간 모니터링
이로 인해 공격자 측의 기술적 우위가 커지고 있으며, “DeFi 보안은 공격 속도를 따라가지 못하고 있다”는 우려가 현실화되고 있습니다.
5) AI 시대에 단일 실패 지점(SPoF)은 어떻게 생존할 수 있을까?
AI 기반 공격이 고도화되는 시대에 SPoF 구조는 사실상 생존이 불가능한 모델에 가깝습니다. 따라서 DeFi는 다음과 같은 방향으로의 전환이 필수적입니다.
- 신뢰 최소화(Trust-Minimized) 구조로 이동 — 단일 컨트랙트나 단일 서명자 의존 제거
- 브리지 보안의 재설계 — “메시지가 맞다”는 가정이 아니라 “틀릴 수 있다”는 전제에서 설계
- 실시간 이상 탐지 + AI 기반 방어 체계
- 담보 자산 검증 모델 강화 — 발행된 자산의 실존 여부를 다중 증명 기반으로 검증
■ 결론
Kelp DAO rsETH 브리지 해킹은 단순한 기술적 사고가 아니라, DeFi의 구조적 취약성·크로스체인 보안 문제·AI 기반 공격 시대의 새로운 위협을 동시에 드러낸 사건입니다.
특히 rsETH가 ETH 시장에서 차지하는 비중을 고려하면, 이번 사고는 Aave·LST 시장·ETH 유동성 전반에 걸쳐 시스템 리스크가 현실화될 수 있는 사건으로 평가됩니다.
2026년 DeFi 생태계에서 가장 중요한 사건 중 하나로 기록될 가능성이 높으며, 향후 브리지 구조·메시징 보안·담보 자산 검증 방식에 대한 근본적 재설계가 필요합니다.
정윤찬 (Younchan Jung)
AI, 블록체인, 온체인 경제의 구조적 변화를 탐구하는 리서처.
This article is also available in English.
댓글
댓글 쓰기