단 하나의 오래된 타임스탬프가 초래한 2,600만 달러의 손실: Aave의 오라클 붕괴와 DeFi 가격 피드 대격변의 이면
2026년 3월 10일, 34명의 Aave 사용자들은 자신들의 건전했던 대출 포지션이 강제 청산된 것을 발견하며 잠에서 깼습니다. 이들은 총 약 2,690만 달러를 잃었습니다. 시장이 붕괴했거나 리스크 관리에 실패해서가 아닙니다. 단 하나의 잘못 설정된 오라클 매개변수로 인해 Aave 시스템이 wstETH (wrapped staked Ether)의 가치를 실제 시장 가격보다 2.85% 낮게 인식했기 때문입니다. 고도로 레버리지를 활용하는 DeFi 대출의 세계에서 2.85%는 지급 능력 유지와 대재앙 사이를 가르는 격차입니다.
이번 사건은 탈중앙화 금융(DeFi)에서 가장 불편한 논쟁 중 하나에 다시 불을 붙였습니다. 담보 자산의 가격을 책정하기 위해 단일 리스크 제공업체의 오프체인 프로세스에 의존하는 240억 달러 규모의 대출 프로토콜은 과연 얼마나 "탈중앙화"되어 있는가 하는 점입니다.
사건 발생: 수백만 달러의 피해를 초래한 설정 오류
근본 원인은 Aave의 **상관 자산 가격 오라클(CAPO, Correlated Asset Price Oracle)**로 거슬러 올라갑니다. CAPO는 환율 값을 제한하여 가격 조작을 방지하기 위해 설계된 안전 메커니즘입니다. CAPO는 스냅샷 비율(snapshot ratio)과 스냅샷 타임스탬프(snapshot timestamp)를 사용하여 허용되는 최대 환율을 계산합니다. 두 매개변수가 동기화되어 있을 때는 시스템이 의도한 대로 작동합니다. 하지만 3월 10일에는 그렇지 않았습니다.
Aave의 주요 리스크 관리 제공업체인 Chaos Labs는 스냅샷 비율에 대한 오프체인 업데이트를 제출했습니다. 그러나 여기서 중요한 세부 사항이 있습니다. 스마트 컨트랙트는 비율에 대해 속도 제한 제약(rate-limiting constraint)을 적용합니다. 즉, 비율은 3일마다 3%만 증가할 수 있습니다. 반면 스냅샷 타임스탬프에는 이러한 제약이 없습니다.
Chaos Labs가 매개변수를 업데이트했을 때, 비율은 약 1.1939로 제한되었지만 타임스탬프는 7일 전의 값을 반영하고 있었습니다. 이 두 수치의 동기화가 깨지면서 오라클은 일관되지 않은 상태에 빠졌습니다.
그 결과는 어땠을까요? CAPO는 wstETH/ETH 환율을 실제 시장 가격인 약 1.228 대신 약 1.1939로 보고했습니다. 상관관계가 높은 자산을 담보로 공격적인 대출을 허용하는 Aave의 **효율 모드(E-Mode, Efficiency Mode)**��를 사용하던 사용자들에게 이 2.85%의 편차는 담보 가치 하락 임계값을 넘어서 자동 청산을 트리거하기에 충분했습니다.
34개의 계정에서 약 10,938 wstETH가 강제 매각되었습니다. 시스템 설계대로 작동한 제3자 청산 봇들은 절대로 청산되지 않았어야 할 포지션에서 약 499 ETH의 수익을 챙겼습니다.
"안전한" 오라클의 오작동 분석
이번 사건이 특히 우려스러운 점은 CAPO가 명확하게 안전 메커니즘으로 설계되었다는 사실입니다. 이는 가격 급등락이 악용되는 것을 방지하기 위해 존재합니다. 인위적인 가격 변동으로부터 보호하기 위해 구축된 시스템이 오히려 가격 변동을 만들어냈다는 점은 뼈아픈 역설입니다.
기술적 아키텍처를 살펴보면 미묘하지만 치명적인 설계 결함이 드러납니다. Chaos Labs는 최대 환율 업데이트를 계산하고 제출하는 오프체인 프로세스를 운영하고, BGD Labs의 스마트 컨트랙트는 온체인 가드레일 역할을 합니다. 문제는 이 두 시스템 사이의 접점에서 발생했습니다.
오프체인 프로세스는 비율 증가를 3일당 3%로 제한하는 온체인 제약 조건을 고려하지 않았습니다. 매개변수가 서로 어긋났을 때, 어느 시스템도 이러한 불일치를 감지해 경고를 보내지 않았습니다.
오프체인 프로세스와 온체인 제약 조건이 서로 통신하지 못하는 이러한 패턴은 Aave에만 국한된 문제가 아닙니다. 이는 인간이 관리하는 프로세스�가 불변의 스마트 컨트랙트 로직과 상호작용하는 하이브리드 오라클 아키텍처를 사용하는 DeFi 프로토콜 전반에 걸친 구조적 취약성을 나타냅니다.
DeFi 전반에 걸친 오라클 실패의 패턴
Aave 사건은 점점 늘어나고 있는 오라클 관련 손실 목록에 추가되었습니다.
- Moonwell (2025년 11월): 결함이 있는 rsETH/ETH 오라클 피드가 wrapped restaked ETH 가격을 토큰당 약 580만 달러로 보고하여 100만 달러의 익스플로잇이 발생했습니다. 이 프로토콜은 한 달 전에도 시장 붕괴 중 오라클과 DEX 간의 가격 차이가 악용되어 170만 달러의 손실을 입었습니다.
- Ribbon Finance (2025년 말): 업그레이드된 오라클 시스템의 소수점 정밀도 불일치로 인해 배포 후 단 6일 만에 손실이 발생했습니다. 이는 업그레이드 후 테스트가 불충분했음을 시사합니다.
- UwU Lend (2024년 6월): 공격자가 Curve Finance에서 sUSDE 시장 가격을 조작하여 UwU Lend가 의존하는 오라클 데이터를 왜곡했고, 그 결과 1,930만 달러의 손실이 발생했습니다.
- Morpho (2024년): 잘못 설정된 SCALE_FACTOR로 인해 PAXG 가치가 실제 가격 대신 토큰당 2.6조 달러로 잘못 책정되었고, 공격자들은 과담보 대출을 통해 유동성을 고갈시켰습니다.
공통점은 무엇일까요? 각 사건은 오라클이 보고하는 내용과 실제 시장이 반영하는 내용 ��사이의 간극을 악용했습니다. 설정 오류, 조작, 소수점 불일치 등 어떤 형태든 오라클 계층은 여전히 DeFi에서 가장 지속적인 실패 지점으로 남아 있습니다.
단일 오라클 의존성이 DeFi의 구조적 리스크인 이유
Aave는 아이슬란드의 GDP와 맞먹는 240억 달러 이상의 총 예치 자산(TVL)을 보유하고 있습니다. 하지만 주요 자산에 대한 가격 피드는 단일 리스크 제공업체의 오프체인 계산 파이프라인에 의존하고 있습니다. 이는 비단 Chaos Labs만의 문제가 아니라 아키텍처 패턴의 문제입니다.
대부분의 주요 DeFi 대출 프로토콜은 유사한 구조를 따릅니다. 하나의 기본 오라클 제공업체, 하나의 가격 피드 세트, 그리고 오류가 발생했을 때 전체 시스템으로 전이될 수 있는 단일 지점이 그것입니다. 2026년 2월, 4억 달러 이상의 DeFi 손실을 초래한 AI 기반 연쇄 이벤트는 자동화된 시스템이 상호 연결된 프로토콜 전반에서 단 하나의 잘못된 신호를 얼마나 빠르게 증폭시킬 수 있는지 보여주었습니다.
오라클 시장 자체도 이러한 집중 리스크를 반영하고 있습니다. DefiLlama에 따르면, Chainlink가 DeFi 전체 가치의 대부분을 보호하고 있으며, Pyth, RedStone, API3와 같은 대체 제공업체들이 각각 특화된 영역을 개척하고 있지만 Chainlink의 지배력에는 미치지 못합니다. 한 제공업체의 아키텍처에 결함이 생기면, 그 영향 범위는 해당 업체에 의존하는 모든 프로토콜로 확산됩니다.
멀티 오라클의 미래: 새로운 아키텍처
업계가 이에 대응하기 시작했습니다. 몇 가지 아키텍처 패턴이 등장하고 있습니다:
다중 소스 가격 검증 (Multi-source price verification) 은 여러 독립적인 오라클 제공업체의 피드를 집계합니다. 한 소스가 다른 소스들과 크게 차이 날 경우, 시스템은 중앙값을 사용하거나 운영을 완전히 중단할 수 있습니다. 이 방식은 지연 시간과 가스 비용을 회복 탄력성과 맞바꿉니다.
서킷 브레이커 (Circuit breakers) 가 주목받고 있습니다. 이는 짧은 시간 내에 가격 변동이 미리 정의된 임계값을 초과할 때 청산을 일시 중단하는 자동화된 메커니즘입니다. Aave가 급격한 wstETH 가격 재산정(repricing)에 의해 트리거되는 서킷 브레이커를 도입했더라면, 2,690만 달러 규모의 청산을 중단하고 검토할 수 있었을 것입니다.
API3와 같은 제공업체가 주도하는 퍼스트 파티 오라클 (First-party oracles) 은 데이터 제공자가 중개자 없이 스마트 컨트랙트에 직접 정보를 공급할 수 있게 합니다. 이는 여러 오프체인 계층을 거치는 데이터 전달 과정(telephone game)을 없애고, 구성 오류의 위험 범위를 줄입니다.
Pyth 및 RedStone에서 사용하는 풀 모델 오라클 (Pull-model oracles) 은 업데이트 책임을 소비자에게 넘깁니다. 정해진 �간격으로 온체인에 가격을 푸시하는 대신, 스마트 컨트랙트가 필요할 때 최신 가격을 요청하도록 하여 데이터 지연 위험을 줄이고 비용을 절감합니다.
대응: 실행에 옮겨진 보상과 거버넌스
Chaos Labs는 피해를 최소화하기 위해 신속하게 움직였습니다. 그들은 일시적으로 wstETH 대출 한도를 줄이고, 스냅샷 파라미터를 수동으로 재조정했으며, 올바른 오라클 값을 복구했습니다. 프로토콜 자체에는 악성 부채가 발생하지 않았습니다.
그 후 Aave DAO는 영향을 받은 사용자들에게 보상을 제공하기 위해 움직였습니다. 영향을 받은 34개 계정에 환불을 제공하기 위해 거버넌스 제안 — [Direct To AIP] wstETH CAPO Oracle Incident User Reimbursement — 이 제출되었습니다. 총 보상액은 512.19 ETH이며, 사고 과정에서 회수된 141.5 ETH와 DAO 금고(treasury)에서 최대 345 ETH를 지원받아 마련되었습니다. DAO의 순 손실액은 약 357.56 ETH이며, 추가 회수 절차가 진행됨에 따라 이 수치는 감소할 것으로 예상됩니다.
이러한 대응은 기존 금융 대비 디파이(DeFi)가 가진 진정한 강점 중 하나를 보여줍니다: 투명한 사고 대응, 공개적으로 검증 가능한 보상, 그리고 구제책에 대한 커뮤니티 거버넌스입니다. 전통적인 은행이었다면, 유사한 설정 오류는 밀실에서 처리되었을 것이며 피해 고객은 해결을 위해 수개월을 기다려야 했을지도 모릅니다.
디파이의 다음 장을 위한 의미
Aave 오라클 사고는 분수령이 되는 사건입니다. 디파이 사상 최대의 손실이었기 때문이 아니라 (실제로 그렇지 않았습니다), 수십억 달러를 관리하는 시스템의 안전 마진(margin of safety)이 얼마나 희박한지를 드러냈기 때문입니다. 2.85% 의 가격 편차. 동기화되지 않은 타임스탬프. 34명의 사용자가 잃은 2,690만 달러. 이것이 오라클 인프라가 실패했을 때 치러야 할 대가입니다.
디파이가 지지자들이 꿈꾸는 기관급 금융 인프라로 성숙하기 위해서는 세 가지가 변해야 합니다:
-
다중 오라클 아키텍처가 표준이 되어야 합니다. 아무리 명망 있는 제공업체라도 단일 업체가 수십억 달러 가치의 자산 가격을 결정하는 프로토콜의 유일한 진실의 원천(sole source of truth)이 되어서는 안 됩니다.
-
온체인 서킷 브레이커는 타협할 수 없는 필수 요소여야 합니다. 비정상적인 가격 이벤트 발생 시 자동 일시 중단 기능을 갖춰 사람이 검토할 시간을 벌고 연쇄 청산을 방지해야 합니다.
-
오프체인과 온체인 시스템은 함께 형식 검증(Formal verification)을 거쳐야 합니다. Chaos Labs의 오프체인 프로세스와 BGD의 온체인 제약 사항 사이의 격차는 코드 버그가 아니라 조율의 실패였습니다. 스마트 컨트랙트뿐만 아니라 이러한 계층 간의 상호작용에 대한 형식 검증이 필수적입니다.
wstETH 오라클 사고로 2,690만 달러의 비용이 발생했습니다. 더 복잡하고 긴밀하게 연결된 디파이 생태계에서 다음 오라클 실패는 훨씬 더 큰 비용을 초래할 수 있습니다. 문제는 디파이의 오라클 인프라가 다시 테스트를 받게 될 것인지가 아니라, 업계가 이를 견뎌낼 수 있는 중복성(redundancy)을 구축했느냐는 것입니다.
BlockEden.xyz는 디파이 프로토콜이 요구하는 신뢰성을 위해 설계된 고가용성 다중 체인 RPC 및 API 인프라를 제공합니다. 결함 허용(fault tolerance)을 고려하여 설계된 인프라에서 개발하려면 노드 서비스 살펴보기를 방문하세요.