본문으로 건너뛰기

월스트리트의 일시 중지: 제프리스(Jefferies)가 KelpDAO 해킹으로 인해 기관의 암호화폐 도입이 18개월 지연될 수 있다고 말하는 이유

· 약 13 분
Dora Noda
Dora Noda
Software Engineer

2026년 4월 18일 KelpDAO에서 1달러를 도난당할 때마다, 48시간 이내에 45달러 이상의 자금이 DeFi에서 빠져나갔습니다. 2억 9,200만 달러라는 헤드라인 수치가 아니라 바로 이 비율이 일주일 후 은행 리스크 관리 책임자들의 책상에 올랐고, Jefferies 애널리스트들은 이를 근거로 대형 은행들이 이제 2026~2027년 블록체인 로드맵 전체를 다시 그려야 할 수도 있다고 주장했습니다.

4월 21일 발표된 Jefferies의 보고서는 토큰화의 종말을 예고하지 않았습니다. 대신 더 미묘하고 어쩌면 더 치명적인 것, 즉 기관 전체의 '조용한 일시 정지(pause)'를 예측했습니다. 어떤 DeFi 프로토콜이 실제로 수조 달러 규모의 실물 자산(RWA) 상품을 위한 담보 인프라 역할을 수행할 수 있는지에 대한 재평가입니다. 감사가 증명할 수 있는 것과 프로토콜이 업그레이드를 거듭한 후 실제로 수행하는 것 사이의 간극에 대한 심판입니다. 그리고 어쩌면 BNY 멜론(BNY Mellon), 스테이트 스트리트(State Street), 골드만삭스(Goldman Sachs), HSBC의 온체인 야망이 12개월에서 18개월가량 지연될 수 있음을 의미합니다.

이것은 단 하나의 브리지 취약점 공격, 단 하나의 설정 오류가 발생한 검증인, 그리고 45대 1의 전염 비율이 어떻게 기관의 일정을 재설정했는지에 대한 이야기입니다.

2억 9,200만 달러 유출의 해부

엄밀히 말해 KelpDAO 사건은 스마트 컨트랙트 해킹이 아니었습니다. 이는 대부분의 사람들이 존재하는지조차 몰랐던 단일 장애점(Single Point of Failure)을 악용한 오프체인 인프라 침해였습니다.

KelpDAO의 rsETH 브리지는 단 하나의 검증인, 즉 LayerZero Labs의 DVN(탈중앙화 검증인 네트워크)으로 구성되어 있었습니다. 하나의 검증인, 하나의 서명, 하나의 병목 지점이었던 것입니다. 이후 LayerZero가 북한의 라자루스 그룹(Lazarus Group)의 소행으로 돌린 공격자들은 검증인이 크로스체인 메시지를 확인하기 위해 의존하는 RPC 노드 중 두 개를 침해한 것으로 알려졌습니다. 해당 노드에 설치된 악성 바이너리는 검증인에게 사기 거래가 실제라고 알렸습니다. 약 2억 9,200만 달러에 달하는 116,500 rsETH가 20개 체인에 걸쳐 브리지를 빠져나갔습니다.

KelpDAO와 LayerZero는 즉시 서로를 비난했습니다. Kelp는 LayerZero의 자체 퀵스타트 가이드와 기본 GitHub 설정이 1-of-1 DVN 설정을 가리키고 있었으며, LayerZero 프로토콜 상의 40%가 동일한 설정을 사용하고 있다고 지적했습니다. LayerZero는 Kelp가 두 번째 DVN을 추가하지 않기로 선택했다고 반박했습니다. 두 주장 모두 사실이지만, 사후 분석 보고서를 읽는 은행들에게는 본질에서 벗어난 이야기입니다. 기관의 수탁 부서가 얻은 교훈은 더 간단했습니다. 문서에서 가장 안전해 보였던 설정이 실제로는 안전하지 않았다는 것입니다.

KelpDAO는 컨트랙트를 일시 정지하여 추가적인 9,500만 달러 도난 시도를 차단하는 데 성공했고, 아비트럼 보안 위원회(Arbitrum Security Council)는 하류에 있던 30,000 ETH 이상을 동결했습니다. 하지만 진짜 피해는 이미 스택의 한 단계 위로 이동한 상태였습니다.

45:1 전염의 연쇄 반응

브리지 자금 유출이 발생한 지 몇 시간 만에 공격자들은 훔친 rsETH를 Aave V3에 담보로 예치하기 시작했습니다. 그들은 이를 담보로 대출을 받았고, 이로 인해 Aave에는 이더리움상의 rsETH-래핑된 이더(WETH) 페어에서 약 1억 9,600만 달러의 집중된 악성 부채가 남게 되었습니다.

다음에 일어난 일은 대규모의 재귀적 반응이었습니다. Aave의 TVL(총 예치 자산)은 48시간 만에 약 66억 달러 감소했습니다. DeFi 전체적으로 TVL은 약 140억 달러 감소하여 약 850억 달러로 떨어졌는데, 이는 1년 만에 최저치이자 10월 정점 대비 약 50% 낮은 수준이었습니다. 이러한 이탈의 상당 부분은 실제 자본의 파괴라기보다는 레버리지 포지션의 청산이었지만, 메시지는 명확했습니다. 2억 9,200만 달러의 도난이 132억 1,000만 달러의 TVL 유출을 초래했다는 것입니다. 바로 45대 1의 전염 비율입니다.

토큰화된 머니마켓펀드(MMF)를 위한 담보 인프라로서 Aave를 평가하는 수탁 부서 입장에서 이 수치는 무시할 수 없는 것입니다. "블루칩의 안전성"이라는 논제는 유동성의 깊이가 충격을 흡수한다는 가정을 전제로 합니다. 하지만 2026년 4월의 연쇄 반응은 충격이 가해지는 순간 그 유동성이 순식간에 사라지는 것을 보여주었습니다.

상황은 더 악화되었습니다. Aave의 엄브렐러 리저브(Umbrella reserve)가 적자를 메우기에 부족한 것으로 알려지면서 stkAAVE 보유자들이 직접 손실을 감당해야 할 가능성이 제기되었습니다. 이후 프로토콜은 구멍을 메우기 위해 1억 6,100만 달러의 신규 자금을 조달했습니다. 전통 금융(TradFi) 관찰자들에게 해킹, 악성 부채, 예비비 부족, 긴급 자금 조달로 이어지는 일련의 과정은 마치 단계가 추가된 뱅크런(Bank run)처럼 불편하게 다가왔습니다.

Jefferies가 실제로 주목하는 패턴

Jefferies의 애널리스트 앤드류 모스(Andrew Moss)가 이 보고서를 쓴 이유는 단순히 하나의 브리지 사건 때문이 아닙니다. 3주 동안 발생한 세 건의 사건 때문이었습니다.

  • 2026년 3월 22일 — Resolv: 공격자가 Resolv의 AWS 키 관리 서비스(KMS) 환경을 침해하고 프로토콜의 권한 있는 서명 키를 사용하여 8,000만 USR 토큰을 민팅하여 약 2,500만 달러를 탈취하고 스테이블코인의 페깅을 깨뜨렸습니다.
  • 2026년 4월 1일 — Drift: 공격자들이 수개월 동안 Drift 팀을 대상으로 사회공학적 공격을 가했고, 솔라나의 "듀러블 논스(durable nonces)" 기능을 악용하여 보안 위원회 멤버들이 모르는 사이에 트랜잭션에 사전 서명하도록 유도했습니다. 결국 가치 없는 가짜 토큰(CVT)을 담보로 화이트리스트에 등록하고 2억 8,500만 달러의 실제 자산을 유출했습니다.
  • 2026년 4월 18일 — KelpDAO: 1-of-1 검증인 설정 하의 RPC 노드 침해로 2억 9,200만 달러 유출.

세 가지 서로 다른 프로토콜, 서로 다른 체인, 서로 다른 공격 표면이었지만 공통된 테마가 하나 있었습니다. 이러한 실패 중 어느 것도 감사자가 검토한 온체인 코드에서 발생하지 않았다는 점입니다. 실패는 클라우드 인프라, 오프체인 거버넌스 프로세스, 업그레이드 절차, 그리고 감사 범위 바로 밖에 있었던 기본 설정에서 발생했습니다.

Jefferies는 이를 2026년을 규정하는 공격 유형인 업그레이드로 인해 도입된 취약점으로 정의했습니다. 모든 일상적인 프로토콜 업그레이드는 이전 코드를 기준으로 이전 감사가 검증했던 신뢰 가정을 조용히 변경합니다. "이것은 50억 달러의 연기금 자산을 담보로 보유하기에 충분히 안전하다"라는 메모를 작성해야 하는 기관의 리스크 관리자들에게 이는 해당 분야의 도입 자체를 무산시킬 수 있는 깨달음입니다. 그들이 2년 동안 조용히 구축해 온 감사 기반의 리스크 프레임워크가 엉뚱한 것을 측정하고 있었다는 통보를 받은 셈이기 때문입니다.

이 현상이 월스트리트 일정에 영향을 미치는 이유

제프리스 (Jefferies) 의 논지는 토큰화가 실패한다는 것이 아닙니다. DeFi 결합성 (composability) 에 의존하는 토큰화의 핵심 요소들이 뒤로 밀려나게 된다는 것입니다.

그 이유를 이해하려면 2026 년 4 월 17 일 당시의 기관 로드맵을 살펴볼 필요가 있습니다 :

  • ** 블랙록 (BlackRock) BUIDL ** 은 약 19 억 달러 규모로 성장하여 이더리움 (Ethereum), 아비트럼 (Arbitrum), 앱토스 (Aptos), 아발란체 (Avalanche), 옵티미즘 (Optimism), 폴리곤 (Polygon), 솔라나 (Solana), BNB 체인 (BNB Chain) 에 배포되었습니다. 이는 이미 바이낸스 (Binance) 에서 담보로 승인된 상태였습니다.
  • ** 프랭클린 템플턴 (Franklin Templeton) BENJI ** 는 FOBXX 를 기초 자산으로 하여 온체인 미국 국채 노출도를 계속해서 확장했습니다.
  • ** 아폴로 (Apollo) ACRED ** 는 플룸 (Plume) 에 배포되었으며 모포 (Morpho) 에서 담보로 활성화되었습니다. 이는 기관의 신용을 온체인에서 빌릴 수 있다는 명시적인 베팅이었습니다.
  • 토큰화된 미국 국채 규모는 2026 년 1 월 89 억 달러에서 3 월까지 110 억 달러 이상으로 성장했습니다. 토큰화된 사모 신용 (private credit) 은 120 억 달러를 넘어섰습니다. 퍼블릭 체인의 전체 RWA 시장은 2,096 억 달러를 돌파했으며, 그 중 61% 가 이더리움 메인넷에 집중되었습니다.

중요한 세부 사항은 이렇습니다. BUIDL 이나 ACRED 를 대출 담보로 사용하거나, 토큰화된 국채 위에 수익 창출형 구조화 상품을 구축하거나, 토큰화된 머니 마켓 펀드를 프라임 브로커리지에 통합하는 등 기관 로드맵의 거의 모든 * 흥미로운 * 항목들은 RWA 토큰 그 자체 이상의 무언가에 의존합니다. 바로 그 아래에서 작동하는 DeFi 레이어입니다.

2026 년 4 월, 그 레이어는 재귀성 (reflexivity) 을 여실히 보여주었습니다. 만약 다른 프로토콜에서 2 억 9,200 만 달러 규모의 익스플로잇 (exploit) 이 발생한 후 48 시간 만에 에이브 (Aave) 에서 100 억 달러의 예치금이 빠져나갈 수 있다면, " 블루칩 DeFi " 는 방어벽이 아니라 전이 메커니즘 (transmission mechanism) 인 셈입니다. 그리고 이러한 전이 메커니즘 위에 구축된 기관 상품들은 6 개월에서 18 개월 정도의 독립적인 인프라 작업이 추가로 필요하거나, 허가형 전용 베뉴 (permissioned-only venues) 로 재설계되어야 합니다.

이것이 바로 제프리스가 가격에 반영하고 있는 지연 요인입니다.

반론 : DeFi 가 없는 토큰화

제프리스의 메모가 기관에 미치는 영향을 과장하고 있다는 실질적인 주장도 존재합니다. 온체인 RWA 2,096 억 달러 중 대부분은 DeFi 프로토콜 내부가 아닌 이더리움 메인넷에 존재합니다. 블랙록 BUIDL 보유자들은 대부분 기관 투자자들이며, 이들은 처음부터 에이브에서 레버리지를 일으킬 의도가 없었습니다. JP 모건 (JPMorgan) 의 오닉스 (Onyx) 네트워크와 골드만삭스 (Goldman) 의 토큰화 자산 데스크는 주로 허가형 베뉴에서 운영됩니다. " DeFi 결합성 " 이야기는 항상 크립토 네이티브 논평가들이 가정하는 것보다 기관 도입에서 차지하는 비중이 작았습니다.

이러한 프레임을 받아들인다면, 제프리스의 메모는 전환점이라기보다는 일종의 면죄부가 됩니다. DeFi 결합성에 미온적이었던 월스트리트 리스크 위원회는 이 메모를 활용하여 어차피 조용히 진행하려 했던 지연을 공식화합니다. 토큰화 자체는 계속됩니다. 파일럿 프로그램도 이어집니다. 조 단위의 헤드라인 수치는 크게 변하지 않습니다.

솔직한 답은 아마도 두 가지가 동시에 일어나는 것일 겁니다. 토큰화는 계속되지만, 온체인 자산이 결합 가능한 담보가 되고, 무허가형 레일 위에 구조화 상품이 구축되며, 프로그래밍 가능한 돈의 효율성 이득이 실제로 나타나는 토큰화의 * 흥미로운 * 부분은 뒤로 밀려나게 됩니다.

기관들이 실제로 변화시킬 것들

제프리스의 메모와 주요 수탁 데스크 (custody desks) 에서 나오는 공개 성명들의 행간을 읽어보면, 향후 6 개월 동안 세 가지 구체적인 변화가 나타날 것으로 보입니다.

** 첫째, 감사 범위가 스마트 컨트랙트를 넘어 확장됩니다. ** 드리프트 (Drift) 익스플로잇 이후 한 전문가가 언급했듯이, " 코드뿐만 아니라 어드민 키를 감사해야 " 합니다. 기관의 실사 (due diligence) 과정에서 클라우드 보안 감사, 키 관리 절차 검토, 거버넌스 공격 벡터 분석, 그리고 모든 프로토콜 업그레이드 이후의 지속적인 재증명을 요구하기 시작할 것으로 예상됩니다. 코드 감사라는 가내수공업 형태의 산업은 운영 감사라는 형제 산업을 탄생시킬 것입니다.

** 둘째, 허가형 베뉴 (permissioned venues) 가 가속화됩니다. ** 에이브나 모포를 담보 인프라로 사용하려던 은행들은 조용히 엔지니어링 방향을 프라이빗 배포로 돌립니다. 이는 기관 전용 포크, 화이트리스트 기반 대출 시장, 또는 동일한 프리미티브 (primitives) 위에 구축되지만 알려진 거래 상대방이 존재하는 양자 간 레포 (repo) 계약 등을 의미합니다. 이는 통제력을 위해 효율성을 포기하는 선택이며, 기관의 리스크 책임자들이 기꺼이 받아들이는 절충안입니다.

** 셋째, 단일 검증인 (single-verifier) 구성은 출시가 불가능해집니다. ** 레이어제로 (LayerZero) 프로토콜의 40% 가 1-of-1 DVN 설정을 실행하고 있었고, 기본 설정이 이를 권장했다는 사실은 업계 전반의 공동 압력을 만들어낼 것입니다. 이제 다중 검증인 요구 사항이 기본 원칙이 될 것입니다. 합리적인 기본 설정인 2-of-3 또는 3-of-5 검증인 설정을 갖춘 브릿지들은 단일 검증인 브릿지가 보험을 들 수 없어 받지 못하는 기관의 자금 흐름을 물려받게 될 것입니다.

역사적 유사 사례

제프리스는 2026 년 4 월을 2022 년의 테라 (Terra)/UST 붕괴 및 FTX 파산 사태와 비교하며, 정도는 덜하지만 유사하게 속도를 조절하는 이벤트로 규정했습니다. 테라는 DeFi 와 전통 금융 (TradFi) 의 통합 일정을 약 24 개월 지연시켰습니다. FTX 는 기관 수탁 일정을 약 18 개월 늦췄습니다. 브릿지 익스플로잇, 대출 기관 전염, 감사 프레임워크 붕괴로 이어지는 켈프 DAO (KelpDAO) 일련의 사건들은 토큰화 전반이 아닌, 특히 * 기관 인프라로서의 결합 가능한 DeFi * 라는 논제에 대해 12 개월에서 18 개월 정도의 속도 조절 이벤트로 보입니다.

이는 의미 있는 차이입니다. 2027 년 RWA 에 대한 강세 시나리오는 여전히 유효하다는 뜻입니다. BUIDL 은 계속 성장할 것입니다. 스테이블코인 결제량도 계속 늘어날 것입니다. 하지만 DeFi 프로토콜이 수조 달러 규모의 기관 금융에서 신뢰를 최소화한 중추가 되는 2026 년의 버전은 이제 빨라야 2027 년이나 2028 년이 될 것임을 의미합니다.

진정한 교훈

가장 뼈아픈 교훈은 DeFi 가 단순히 안전하지 않아서 140억 달러를 잃은 것이 아니라는 점입니다. DeFi 가 140억 달러를 잃은 이유는 보안의 진정한 의미에 대해 불투명했기 때문입니다. 스마트 컨트랙트 감사는 실질적이며 가치가 있습니다. 하지만 이는 실제 공격 표면 (attack surface) 의 극히 일부에 불과합니다. 프로토콜이 빈번하게 업그레이드되고, 클라우드 인프라에 의존하며, 권한이 집중된 서명 키를 보유하고, 검증인 다양성보다 개발자의 편의성을 우선시하는 기본 설정을 배포하는 한, 감사는 단지 한 시점의 상태를 검증할 뿐 실제 위험은 다른 곳에 존재하게 됩니다.

빌더들에게 이것은 기회입니다. 2026년 기관들의 도입 일시 중단 사태에서 살아남는 프로토콜은 더 어려운 문제, 즉 일회성 감사와 희망에 의존하는 대신 운영 무결성에 대한 지속적이고 검증 가능한 증거를 생성할 수 있는 프로젝트가 될 것입니다. 기관들에게 그 길은 더 좁지만 명확합니다. DeFi 결합성 (composability) 에 12 ~ 18개월의 지연이 있다고 가정하고, 그동안 허가형 토큰화 (permissioned tokenization) 를 구축하십시오. 그 외 모든 이들에게: 프로토콜이 제공하는 유일한 신뢰 신호로 '감사 완료' 라는 문구를 보게 된다면, 감사인이 살펴보지 않은 것이 무엇인지 질문하십시오.

단일 해킹 사건보다 이 질문 자체가 2027년 기관급 크립토 스택을 형성하는 핵심이 될 것입니다.

  • BlockEden.xyz 는 Sui , Aptos , Ethereum , Solana 및 25개 이상의 체인에 배포하는 빌더와 기관을 위해 엔터프라이즈급 RPC 및 인덱서 인프라를 제공합니다. 2026년의 해킹 사례들이 검증인 다양성과 운영 무결성의 중요성을 강조함에 따라, 기관의 위험 관리 수준을 고려하여 설계된 인프라 위에서 개발을 시작하려면 저희 API 마켓플레이스를 살펴보십시오 .*

출처

Share on Twitter