KelpDAO 익스플로잇으로 Aave에 2억3600만달러 부실 발생…저스틴 선, 협상 추진

핵심 포인트

KelpDAO의 LayerZero 기반 브리지 결함으로 공격자는 4월 18일 크로스체인 메시지를 위조해 116,500 rsETH를 탈취했다. 이후 공격자는 탈취한 rsETH를 Aave V3에서 담보로 사용하고 대규모 WETH를 빌렸다. 그 결과 rsETH는 담보 뒷받침이 없는 상태가 됐고, Aave에는 2억3600만달러가 넘는 부실채권이 남았다. Aave는 V3와 V4에서 rsETH 시장을 동결했고, 스타니 쿨레초프는 이번 익스플로잇이 Aave 계약 외부에서 발생했다고 밝혔다. 저스틴 선은 해커와의 협상을 촉구했고, 온체인 데이터에 따르면 그는 익스플로잇 이후 약 1억5400만달러 상당인 65,584 ETH를 Aave에서 Spark로 인출했다.

왜 중요한가: 무효 담보가 계속 사용 가능한 상태로 남아 있으면 브리지 실패가 대출 시장으로 확산될 수 있으며, 이는 DeFi의 공통 리스크 통제에 대한 우려를 키울 수 있다.

시장 심리

약세, 스트레스 국면, 기술 주도, 공포.

이유: 이번 익스플로잇으로 Aave에 2억3600만달러가 넘는 부실채권이 발생했고, 이는 DeFi 대출 인프라에 직접적인 스트레스를 가리킨다.

유사 과거 사례

Euler Finance는 2023년 3월 익스플로잇으로 거의 2억달러를 잃었고, 이후 공격자는 협상과 사과 끝에 회수 가능한 자금을 모두 반환했다. (CoinDesk) (coindesk.com) 가장 큰 차이는 Euler는 대출 프로토콜 자체가 직접 타격을 받았던 반면, 이번 사례는 브리지 실패로 시작해 이후 Aave에 부실채권을 만들었다는 점이다.

파급 효과

담보 뒷받침이 없는 자산이 대출 시장에 계속 묶여 있으면 다른 프로토콜들도 추가 부실을 제한하기 위해 담보 설정을 강화하거나 연계 자산을 동결할 수 있다. 이런 대응은 차입 여력을 줄이고 리스테이킹된 이더 시장 전반의 유동성을 약화시킬 수 있다. 더 많은 거래처가 rsETH 관련 활동을 제한하면, 피해가 KelpDAO와 Aave를 넘어 확산되고 있다는 점이 드러날 것이다.

기회와 리스크

기회: KelpDAO와 공격자가 자금 반환 합의에 도달하거나 회복 계획을 내놓는다면, 부실채권 리스크가 줄어들기 시작할 수 있기 때문에 이는 영향을 받은 DeFi 종목의 잠재적 재진입 신호가 될 수 있다. Aave가 rsETH 시장 기능을 정상화한다면, 그 확인 이후에만 익스포저를 늘리는 것이 헤드라인 리스크를 줄인다.

리스크: Aave가 더 큰 부실채권을 공개하거나 다른 거래처들이 관련 담보를 동결할 경우, 영향을 받은 DeFi 대출 종목의 익스포저를 줄이면 더 광범위한 디레버리징에 따른 하방 위험을 제한할 수 있다. 회복 협상이 실패하고 탈취 자금 이동이 계속된다면, 브리지 연계 자산과 리스테이킹된 이더 익스포저에 대해 방어적으로 대응하는 것이 전염 리스크를 줄인다.