Chaos Labs, 500만 달러 거절: Aave가 극복하지 못한 DeFi 리스크 관리 위기

$240억 규모의 DeFi 프로토콜이 단지$ 500만이 업무를 수익성 있게 운영하기에 충분하지 않다는 이유로 리스크 관리자를 잃었습니다. 이 문장은 DeFi 가 기관 수준의 성숙도로 나아가는 과정에 대해 생각하는 모든 이들을 멈춰 세워야 합니다.

2026년 4월 6일, Chaos Labs 는 Aave 와의 3년 계약을 종료한다고 발표하며, Aave Labs 가 해당 업체를 유지하기 위해 제시한 $ 500만 규모의 리테이너 패키지를 거절했습니다. Chaos Labs 의 설립자 오메르 골드버그 (Omer Goldberg) 는 예산 증액에도 불구하고 자신의 팀이 Aave 의 리스크 관리 운영에서 손실을 보고 있었으며, V4 의 허브 앤 스포크 (hub-and-spoke) 아키텍처가 관리 범위를 확장함에 따라 이러한 상황이 지속될 것이라고 커뮤니티에 밝혔습니다.

이것은 평범한 공급업체 분쟁이 아니었습니다. Chaos Labs 는 이번 분기 초 BGD Labs (4월 1일) 와 Aave Chan Initiative 에 이어 90일 만에 Aave 를 떠난 세 번째 주요 기술 서비스 제공업체입니다. 이러한 이탈이 일어나는 와중에 Aave 는 역사상 가장 큰 규모의 업그레이드를 실행했습니다. 2026년 3월 30일 Ethereum 메인넷에서 V4 가 활성화되었으며, 당시 $264억의 TVL 을 보유한 상태에서 이미 처리 중인$ 10억 규모의 토큰화된 국채를 넘어 확장하기 위해 기관용 RWA 플랫폼인 Horizon 을 준비하고 있었습니다.

이 이야기는 Aave 가 작동을 멈출 것이라는 이야기가 아닙니다. 이 이야기는 모든 주요 DeFi 프로토콜 내부에 숨겨진 구조적 취약성, 즉 관리되는 자산의 규모와 이를 관리하는 팀의 규모 사이의 격차를 드러내는 것입니다.

충분하지 않았던 $ 500만

3년 동안 Chaos Labs 는 공급 및 차입 한도 설정, 이자율 곡선 조정, 청산 임계값 보정, 그리고 Edge Risk Oracle 및 CAPO (Correlated Asset Price Oracle) 시스템을 통해 가격 오라클을 공급하는 등 Aave 대출 시장의 지급 능력을 유지하는 리스크 파라미터 업무를 수행해 왔습니다. 2024년 말까지 이 업체는 Aave 시장 전반에 걸쳐 1,100개 이상의 리스크 파라미터 업데이트를 실행했습니다. Edge Risk Oracle 하나만으로도 $ 50억 이상의 예치금을 보호하고 있습니다.

경제적 논리가 전혀 맞지 않았습니다. Chaos Labs 는 제안된 $500만 예산으로도 적자 운영 중이라고 Aave 커뮤니티에 전했습니다. 업체가 V3 와 V4 를 모두 커버하기 위해 추산한 최소 예산은$ 800만이었습니다. 골드버그는 단도직입적으로 말했습니다. "$ 100만을 인상하더라도 우리는 여전히 마이너스 마진으로 Aave 의 리스크를 관리하게 될 것입니다."

이 비대칭성을 고려해 보십시오. Aave 는 올해 초 단 30일 동안 $8,300만 이상의 프로토콜 수수료를 창출했습니다. 프로토콜은 2026년 2월 25일에 역대 총 대출 규모$ 1조를 돌파했습니다. 하지만 $ 240억 이상의 예치금을 리스크 파라미터 오류, 오라클 취약점 공격, 연쇄 청산으로부터 보호할 책임을 진 팀은 DeFi 에서 가장 인지도가 높은 계약을 수행하면서도 긍정적인 영업 이익률을 유지할 수 없었습니다.

이것은 Aave 가 인색하다는 이야기가 아닙니다. 이것은 DeFi 리스크 관리가 수십억 달러의 사용자 자금 위에 놓인 가벼운 컨설팅 계약처럼 구조화된 방식에 대한 이야기입니다.

모든 것을 바꾼 오라클 오류

Chaos Labs 의 이탈이 일반적인 업체 이탈보다 더 큰 충격을 주는 데에는 이유가 있습니다. 계약 종료 발표 전인 2026년 3월 10일, wstETH 가격 데이터를 공급하는 Chaos Labs CAPO 리스크 에이전트의 설정 오류로 인해 34개의 Aave 계정에서 $ 2,690만 규모의 부당한 청산이 발생했습니다.

기술적인 원인은 미묘했습니다. CAPO 는 ETH 대비 wstETH 가격에 대해 스냅샷 비율을 사용하며, 온체인 규칙에 따라 비율 증가를 3일마다 최대 3% 로 제한합니다. Chaos Labs 는 시장 상황에 맞추기 위해 스냅샷 비율을 약 1.2282로 조정하려고 오프체인 수정을 시도했으나, 온체인 속도 제한 (rate-limiting) 으로 인해 일회성 업데이트가 반영되지 않았습니다. 결과적으로 Aave 의 청산 엔진에서 사용된 환율이 실제 시장 가격보다 약 2.85% 낮게 계산되어, 건전한 포지션들이 청산 임계값을 넘어서게 되었습니다.

Aave 는 몇 시간 내에 대응했습니다. wstETH 의 차입 한도를 일시적으로 낮추고, 스냅샷 비율을 타임스탬프에 맞춰 수동으로 재조정했으며, 영향을 받은 사용자들에게 약 345 ETH 의 청산인 보너스를 반환하기로 약속했습니다. 프로토콜 자금 손실은 없었습니다.

하지만 이 사건은 두 가지 시사점을 남겼습니다. Chaos Labs 에게는 이 정도 규모의 프로토콜 리스크를 관리한다는 것이 설정 실수 하나만으로도 뉴스 헤드라인을 장식하고 회사의 신뢰도에 직접적인 타격을 줄 수 있다는 점을 상기시켰습니다. Aave 거버넌스에게는 DAO 가 피해왔던 질문을 명확히 던졌습니다. $ 240억 규모 프로토콜의 리스크 파라미터를 마이너스 마진으로 운영되는 단일 외부 팀에 맡기는 것이 과연 신중한 일인가 하는 점입니다.

하나의 업무를 다중 업무로 바꾼 V4

경제성 논의의 도화선이 된 것은 EthCC 에서 공개된 후 2026년 3월 30일 Ethereum 메인넷에 출시된 Aave V4 였습니다. V4 는 점진적인 업그레이드가 아닙니다. 이는 V3 의 단일 시장 모델을 중앙 리퀴디티 허브 (Liquidity Hub) 가 각각 고유한 리스크 프로필, 담보 규칙 및 타겟 사용자층을 가진 특화된 스포크 (Spoke) 로 자본을 라우팅하는 허브 앤 스포크 아키텍처로 대체합니다.

해당 설계에는 몇 가지 새로운 리스크 차원이 수반됩니다.

• 리스크 프리미엄 (Risk Premiums) — 차입 이자율은 이제 시장 전체의 균일한 이율을 적용하는 대신 개별 담보 품질에 따라 가격이 책정되므로, 각 자산은 지속적으로 업데이트되는 담보 리스크 점수 (Collateral Risk score) 를 필요로 합니다.
• Horizon RWA 스포크 (Spoke) — VanEck (VBILL) 및 Superstate (USCC) 의 토큰화된 국채가 화이트리스트에 등록된 기관 차입자와 함께 격리된 스포크에 위치하며, 이는 기존 DeFi 에는 존재하지 않는 규제 준수 (compliance), 수탁 (custody) 및 상환 리스크 카테고리를 도입합니다.
• 크로스 스포크 (Cross-Spoke) 유동성 한도 — 허브는 각 스포크가 인출할 수 있는 자본의 양을 강제해야 하므로, 새로운 방식으로 발생할 수 있는 장애 지점이 생성됩니다.
• 통합 회계 (Unified accounting) — 여러 스포크에 걸쳐 있는 사용자 포지션은 근본적으로 서로 다른 자산 유형에 대해 일관된 리스크 계산을 필요로 합니다.

Chaos Labs 의 주장은 간단했습니다. V3 의 리스크 작업은 정의된 범위, 즉 알려진 시장 세트 전반의 알려진 자산 세트였습니다. 하지만 V4 의 리스크 작업은 개방형입니다. 모든 새로운 스포크는 사실상 자체적인 파라미터 보정, 스트레스 테스트 및 지속적인 모니터링이 필요한 새로운 제품 출시와 같습니다. 업체는 적절한 인력을 배치하여 V3 와 V4 를 커버하기 위해 최소 $800만이 필요하다고 추산했습니다. Aave Labs 는$ 500만을 제안했습니다. 그 격차는 협상의 여지가 없는 구조적 불일치였습니다.

90일 동안 발생한 세 번의 이탈

Chaos Labs의 이탈은 고립된 사건이 아닙니다. 이번 퇴출은 BGD Labs와 Aave Chan Initiative(ACI)에서 시작된 기여자 엑소더스의 세 번째 장입니다.

BGD Labs는 2026년 3월에 이탈을 발표하며, Aave V3 인프라의 상당 부분을 담당했던 기술 팀으로서의 4년 간의 활동을 마무리했습니다. 이 회사의 공식 성명은 외교적이었지만 분명했습니다. "우리의 운영 방식과 우리가 생각하는 가치가 더 이상 현재의 환경과 일치하지 않기 때문에 기여를 중단합니다." BGD의 비공식적인 의견에 따르면, Aave Labs가 V4 전환 결정을 일방적으로 밀어붙였으며, 지속적인 V3 개선에 대해 BGD가 '인위적인 제약'이라고 표현한 조건을 부과했다고 합니다.

Marc Zeller가 설립한 **Aave Chan Initiative (ACI)**는 수년 동안 제안서를 작성하고, 위임 투표를 조율하며, 커뮤니티의 의사결정을 형성해 온 Aave의 가장 눈에 띄는 거버넌스 기여자 중 하나였습니다. ACI의 이탈 과정에는 Aave Labs의 거버넌스 토큰 공급에 대한 통제력 집중에 대한 날카로운 비판이 포함되었으며, 이후 Tiger Research는 이를 "Aave의 사유화"라고 정의했습니다.

Chaos Labs가 떠나면서, LlamaRisk는 $26B 이상의 예치금을 보유한 프로토콜의 유일한 주요 리스크 제공자가 되었습니다. Aave Labs의 설립자 Stani Kulechov는 프로토콜이 중단 없이 계속 운영될 것이라고 사용자를 안심시켰지만, 이러한 집중 현상은 매우 이례적입니다. 1년 전만 해도 Aave에는 기술 인프라를 위한 3개의 주요 기여 팀과 리스크 관리를 위한 2개의 팀, 그리고 DeFi에서 가장 활발한 거버넌스 커뮤니티 중 하나가 있었습니다. 그러나 오늘날 이 모든 스택의 대부분은 단 하나의 팀으로 압축되었습니다.

광범위한 패턴: DAO 서비스 제공자로서의 리스크 관리

Aave의 상황은 유일한 사례가 아닙니다. 이는 모든 주요 DeFi 프로토콜이 직면한 구조적 문제의 가장 명확한 발현입니다. "외부 DAO 서비스 제공자로서의 리스크 매니저" 모델은 프로토콜의 규모가 작고 자산이 단순하며 리스크 파라미터가 분기별로 업데이트되던 시절에는 타당했습니다. 하지만 다음과 같은 오늘날의 상황에서는 점점 더 부적절해 보입니다.

• 단일 프로토콜이 여러 체인에 걸쳐 수십 개의 자산으로 $24B 이상의 자금을 보유함
• 새로운 자산 카테고리(RWA, LRT, 에이전트 제어 포지션 등)마다 맞춤형 리스크 프레임워크가 필요함
• 프로토콜 수익이 외부 컨설턴트가 정당화할 수 있는 예산보다 10~20배 더 큰 내부 리스크 팀을 지원할 수 있음
• 리스크 결정에 대한 법적 노출이 모호함 — 외부 업체는 수탁자인가? 서비스 제공자인가? 아니면 그 중간의 무엇인가?

향후 선택지는 크게 세 가지 진영으로 나뉩니다. 첫째, 리스크 관리를 완전히 내부화하는 것입니다. 팀을 고용하고 프로토콜 급여 명부에 올리며 조직적 오버헤드를 수용하는 것입니다. 이는 전통 금융이 택하는 방식으로, 유연성을 대가로 정렬(alignment)을 확보합니다. 둘째, 외부 모델을 유지하되 적절한 자금을 지원하는 것입니다. 월 수수료 $83M에 비해 $8M는 단수 차이에 불과하다는 점을 인식하고, 보호되는 자산 규모에 맞게 보상을 조정하는 것입니다. 셋째, 여러 소규모 제공업체로 리스크 관리를 분산하는 것입니다. MakerDAO가 여러 리스크 서비스 제공업체를 사용하여 조정의 복잡성을 감수하더라도 중복성과 교차 검증을 강제하는 방식과 유사합니다.

이 중 어느 것도 정답이라고 단정할 수는 없습니다. 그러나 마이너스 마진으로 $24B 규모의 리스크를 관리하는 단일 외부 업체라는 현재의 상태는 분명히 잘못되었으며, Aave는 그 결과를 공개적으로 겪고 있는 첫 번째 주요 프로토콜입니다.

모든 DeFi 빌더에게 주는 시사점

Aave 사례를 넘어 세 가지 시사점이 중요합니다.

리스크 관리는 단순한 항목이 아니라 인프라입니다. 업계는 수년 동안 보안 감사, 리스크 파라미터 관리, 오라클 모니터링을 가격으로 경쟁하는 아웃소싱 서비스로 취급해 왔습니다. Chaos Labs의 퇴출은 이러한 접근 방식이 대규모 환경에서는 무너진다는 것을 보여주는 데이터 포인트입니다. 수십억 달러의 사용자 자금을 보유하려는 프로토콜의 경우, 리스크 운영은 핵심 제품처럼 자원이 투입되어야 합니다.

아키텍처의 복잡성은 리스크 예산에 비선형적으로 세금을 부과합니다. V4의 허브 앤 스포크(hub-and-spoke) 모델은 단순히 새로운 기능 세트가 아니었습니다. 그것은 리스크 노출 표면적의 배가 장치였습니다. 모듈형 아키텍처, 멀티 마켓 설계 또는 RWA 통합을 고려하는 프로토콜은 결정을 내린 후가 아니라, 내리기 전에 해당 선택에 따른 리스크 관리 비용을 예산에 반영해야 합니다.

거버넌스 토큰 보유자들은 이제 더 어려운 질문에 직면하게 될 것입니다. 수년 동안 DAO 거버넌스는 자산 상장, 이자율 곡선 조정, 생태계 보조금 지급 등에 대한 투표를 요청받아 왔습니다. Aave의 경험은 다음 세대의 투표가 구조적일 것임을 시사합니다. 재무고(Treasury)의 얼마를 내부 리스크 팀에 지원해야 하는가? 해당 팀을 어떤 법적 구조로 감쌀 것인가? 리스크 결정이 잘못되었을 때 책임은 어떻게 분산되는가? 이는 그 어떤 파라미터 조정보다 이해관계가 훨씬 더 높은 거버넌스 결정입니다.

이 모든 소동에서 가장 놀라운 점은 Aave가 아마도 괜찮을 것이라는 사실입니다. LlamaRisk는 커버리지를 확장할 것이고, Aave Labs는 추가적인 리스크 관리 역량을 내부화할 가능성이 높습니다. V4는 계속해서 TVL을 축적할 것입니다. 이 프로토콜은 공급업체와의 분쟁으로 실패하기에는 DeFi의 근간에 너무나 깊숙이 박혀 있습니다.

하지만 이번 사건은 DeFi의 기관급 서사가 기관급 운영 인프라보다 앞서 나가고 있다는 것을 공식적으로 확인시켜 주었습니다. $26B TVL이라는 헤드라인과 마이너스 마진으로 운영되는 리스크 팀의 현실 사이에는 간극이 존재합니다. 그 간극이야말로 다음 DeFi 위기가 확실하게 도사리고 있는 곳입니다.

---

DeFi 인프라를 구축하려면 유동성이 존재하는 모든 체인에서 신뢰할 수 있는 기관급 데이터와 RPC 액세스가 필요합니다. BlockEden.xyz는 Ethereum, Sui, Aptos, Solana 및 40개 이상의 기타 네트워크에 걸친 멀티 체인 API 인프라를 제공합니다. 이는 리스크 관리, 오라클 정확도 및 실행 신뢰성이 중요할 때 프로토콜이 필요로 하는 기반 레이어입니다. DeFi가 성장하고 있는 규모에 맞춰 설계된 인프라에서 빌드하려면 API 마켓플레이스를 살펴보세요.

출처

• Aave, 기여자 이탈과 분쟁 속에 핵심 리스크 관리자인 Chaos Labs를 잃다 — CoinDesk
• Chaos Labs, Aave를 떠나다 — Aave 거버넌스 포럼
• Chaos Labs의 이탈은 Aave의 사유화인가? — Tiger Research
• Aave의 주요 리스크 관리자 Chaos Labs, 거버넌스 분쟁 중 퇴출 — The Block
• Chaos Labs, V4 범위 및 경제 모델에 대한 충돌 후 Aave 리스크 관리 역할 종료 — Crypto Briefing
• Chaos Labs, 리스크 불일치를 이유로 Aave 협력 종료 — The Defiant
• Aave 오라클 결함으로 2,600만 달러 규모의 부당한 청산 발생 — Crypto Times
• Aave 오라클 결함 발생, 2,600만 달러 규모의 불공정한 wstETH 청산 촉발 — The Block
• 디파이(DeFi) 대출 플랫폼 Aave, 가격 결함 후 드문 2,700만 달러 규모의 청산 발생 — CoinDesk
• Aave V4 아키텍처 이해하기 — Aave 블로그
• Aave V4, '허브 앤 스포크(hub-and-spoke)' 아키텍처와 함께 이더리움 메인넷 출시 — The Block
• BGD. Aave를 떠나며 — Aave 거버넌스 포럼
• BGD Labs, 거버넌스 긴장 고조로 4년 만에 Aave 기여 중단 — The Block