보도에 따르면, 2026년 4월 18일 한 공격자가 KelpDAO의 rsETH 유동성 리스테이킹 토큰의 발행 결함을 악용해 이더리움과 아비트럼에서 총 2억 8천만 달러 이상을 탈취한 것으로 추정됩니다. 주요 내용:
ZachXBT, 이더리움 디파이 대출 시장을 강타한 2억 8천만 달러 이상의 KelpDAO 해킹 공격 지적
작성자
공유
- ZachXBT는 2026년 4월 18일 이더리움 및 아비트럼 디파이(DeFi) 프로토콜에서 2억 8천만 달러 이상의 자금이 도난당했다고 보고했습니다.
- KelpDAO의 rsETH 발행 결함으로 인해 Aave V3에 부실 채권이 발생했으며, AAVE 토큰 가격은 약 10~13% 하락했습니다.
- KelpDAO는 이 취약점 악용 사실을 아직 확인하지 않았으며, 분석가들은 자금 회수 단서를 찾기 위해 확인된 6개의 공격자 지갑을 모니터링하고 있다.
이더리움 디파이(DeFi) 해킹: 켈프다오(KelpDAO) rsETH 공격으로 2억 8천만 달러 이상 유출
온체인 조사관 ZachXBT는 동부 표준시 기준 오후 3시 직전에 자신의 공개 텔레그램 채널에 초기 경보를 게시하며, 이번 탈취와 관련된 6개의 지갑 주소를 나열하고 자금 유출이 시작되기 전 공격자 지갑들이 토네이도 캐시(Tornado Cash)를 통해 자금을 조달받았다고 언급했다. 그의 게시물은 켈프DAO를 직접 언급하지는 않았으나 여러 디파이 프로토콜에서 2억 8천만 달러가 넘는 손실이 발생했다고 밝혔으며, 온체인 분석가들은 몇 시간 만에 해당 주소들을 연결 지어냈다.
"KelpDAO는 1시간 전 이더리움과 아비트럼에서 2억 8천만 달러 이상을 도난당한 것으로 보입니다,"라고 ZachXBT는 적었습니다. "공격용 지갑들은 토네이도 캐시를 통해 자금을 조달받았습니다."
이번 공격은 이미 여러 번 사용된 수법을 따랐습니다. 보고서에 따르면 공격자들은 rsETH 발행 로직의 결함을 악용해 적절한 담보를 제공하지 않은 채 대량의 유동성 리스테이킹 토큰을 생성한 것으로 보입니다. 이렇게 부풀려진 rsETH는 이후 이더리움과 아비트럼의 Aave V3 대출 시장에 예치되었고, 공격자는 이를 담보로 상당한 양의 ETH 및 기타 자산을 차입했습니다.
담보가 무가치한 것으로 판명되자, 해당 포지션들은 Aave에 부실 채무를 남겼습니다. 커뮤니티의 총 손실 추정치는 1억 달러에서 약 2억 9,300만 달러 사이로, 현재 가격 기준으로 약 116,500 ETH에 해당합니다. 이 소식에 AAVE 가격은 급락했습니다. 시장 데이터에 따르면 초기 경보가 발생한 지 몇 시간 만에 10%에서 13% 사이의 하락폭을 기록했는데, 이는 시장이 프로토콜의 대출 풀 전반에 걸친 잠재적 부실채권 노출 위험을 반영했기 때문이다. rsETH와 같은 유동성 리스테이킹 토큰은 DeFi의 상호운용성 구조 깊숙이 자리 잡고 있다. 이러한 토큰은 여러 대출 시장에서 동시에 담보로 인정받기 때문에, 발행 악용 공격이 발생하면 손실이 플랫폼 전반으로 빠르게 확산될 수 있다. KelpDAO 사건은 이러한 위험을 직접적으로 보여준다.
ZachXBT가 공개한 공격자 지갑 목록에는 Aave와 Compound에 대규모 ETH 포지션이 보유된 것으로 나타났습니다. 한 주소만 해도 탐지 당시 Aave에 약 1억 2천만 달러 상당의 ETH를 보유하고 있었던 것으로 알려졌습니다. 자금은 유출 직후 신속하게 이동되었습니다.
공격 전 운영 지갑에 자금을 미리 입금하기 위해 토네이도 캐시(Tornado Cash)를 사용한 것은 자금 출처를 숨기려는 공격자들의 전형적인 전술입니다. 이는 새로운 기법을 의미하지는 않지만, 이번 작전이 고의적이고 계획된 것임을 확인시켜 줍니다.
4월 18일 오후 3시(미국 동부 시간) 기준, 켈프DAO는 아직 공식 성명이나 사후 분석 보고서를 발표하지 않았다. 커뮤니티는 프로젝트의 X(구 트위터) 계정과 웹사이트를 통해 대응을 주시하고 있었으며, 비상 조치 여부를 확인하기 위해 Aave 거버넌스 채널도 주시하고 있었다.
Peckshield, Slowmist 등 디파이(DeFi) 보안 업체들은 상황 전개가 매우 빠르게 진행됨에 따라, 이 기사를 작성하는 시점까지 아직 상세한 분석 보고서를 발표하지 않은 상태였다. ZachXBT는 공개 채널에 켈프DAO를 구체적으로 언급한 후속 게시물을 올리지 않았으나, 주소의 중복으로 인해 연관성이 명확히 드러났다.
2026년 드리프트 프로토콜 해킹 사건: 사건 개요, 피해자, 그리고 향후 전망
드라이프트 프로토콜(Drift Protocol)은 2026년 4월 1일, 가짜 담보와 사회공학적 기법을 이용한 북한 관련 세력들의 소라나(Solana) 디파이(DeFi) 해킹 사건으로 12분 만에 2억 8,600만 달러의 손실을 입었다. read more.
지금 읽기
2026년 드리프트 프로토콜 해킹 사건: 사건 개요, 피해자, 그리고 향후 전망
드라이프트 프로토콜(Drift Protocol)은 2026년 4월 1일, 가짜 담보와 사회공학적 기법을 이용한 북한 관련 세력들의 소라나(Solana) 디파이(DeFi) 해킹 사건으로 12분 만에 2억 8,600만 달러의 손실을 입었다. read more.
지금 읽기2026년 드리프트 프로토콜 해킹 사건: 사건 개요, 피해자, 그리고 향후 전망
지금 읽기드라이프트 프로토콜(Drift Protocol)은 2026년 4월 1일, 가짜 담보와 사회공학적 기법을 이용한 북한 관련 세력들의 소라나(Solana) 디파이(DeFi) 해킹 사건으로 12분 만에 2억 8,600만 달러의 손실을 입었다. read more.
이번 사건은 2026년 4월 1일 Bitcoin.com News가 최초로 보도한 Drift Protocol 해킹 사건과는 별개입니다. 당시 사건은 주로 솔라나(Solana)에서 약 2억 8천만 달러가 유출된 후, CCTP를 통해 USDC가 이더리움으로 전송된 사례였습니다. 이번 사건의 메커니즘, 체인, 그리고 시간대는 모두 다릅니다.
Aave, Compound 또는 기타 대출 시장에서 rsETH나 관련 포지션을 보유한 모든 이용자에게는 상황이 해결될 때까지 노출된 자산을 점검하라는 커뮤니티 구성원들의 권고가 이어지고 있다. ZachXBT가 식별한 6개의 공격자 지갑은 분석가들이 자금이 Aave를 떠난 후 어디로 이동했는지 추적하는 동안 여전히 온체인 추적의 주요 대상이다.
