"Ethereum" 태그로 연결된 317 개 게시물 개의 게시물이 있습니다.

2026년 5월 4일, 미국 최대의 규제 대상 암호화폐 거래소가 티어 1(Tier-1) 거래소 중 그 누구도 시도하지 않았던 일을 단행합니다. 코인베이스(Coinbase)는 단순히 DAI를 상장 폐지하는 데 그치지 않고, 5월 6일 종료되는 48시간의 기간 내에 모든 DAI 잔액을 Sky Protocol의 USDS로 1:1 비율로 자동 '라우팅(route)'할 예정입니다.

이러한 차별점은 헤드라인이 시사하는 것보다 훨씬 더 중요합니다. 바이낸스(Binance)가 USDC 지원을 재편하거나, OKX가 BUSD를 정리했을 때, 혹은 역사적으로 거래소들이 스테이블코인을 상장 폐지했을 때 기본 퇴로(exit)는 항상 법정화폐였습니다. 사용자들은 오프체인에서 자산을 상환받았습니다. 하지만 이번에 코인베이스는 자신의 커스토디(수탁) 지위를 활용하여 한 발행사의 온체인 유동성을 다른 발행사로 밀어 넣고 있습니다. 이는 미국 거래소가 특정 스테이블코인을 전환 대상으로 선택함으로써 그 후계자로서의 지위를 암묵적으로 '인증'한 첫 사례가 될 것입니다.

그 선택은 이제 실제 운영 환경에서 시험대에 오르려 합니다.

금융 서비스 분야에서 자동화된 거래 시스템, 컴플라이언스 봇, 리스크 엔진, 그리고 이제는 자율형 AI 에이전트에 이르는 비인간 ID(Non-human identities)는 이미 인간 직원의 수를 약 96 대 1 정도로 압도하고 있습니다. 이들은 결제를 시작하고, 계좌를 개설하며, 가격을 협상합니다. 또한 기관을 대신하여 서명하기도 합니다. 하지만 이들 중 대다수는 인간 거래 상대방이 당연하게 여기는 것들, 즉 검증 가능한 신원, 등록된 주체, 감사 추적, 그리고 문제가 생겼을 때 규제 당국이 전화할 수 있는 번호 등을 갖추고 있지 않습니다.

이러한 비대칭성은 a16z crypto와 여러 분석가들이 현재 "금융 시스템의 유령(ghosts in the financial system)" 문제라고 부르는 것입니다. 그리고 이더리움 재단(Ethereum Foundation), Visa, MetaComp, Skyfire 및 수많은 컴플라이언스 스타트업들이 뒷받침하는 2026년의 예측은, 1970년 은행 비밀법(Bank Secrecy Act) 이후 고객 확인 제도(KYC)가 성숙해지는 데 걸렸던 30년이 아니라, 단 몇 달 내에 해결책이 나와야 한다는 것입니다.

**에이전트 확인 제도(Know Your Agent, KYA)**의 시대에 오신 것을 환영합니다.

브라우저 소송이 청사진이 된 과정​

법적 토대는 2026년 3월 9일, 샌프란시스코 연방법정에서 마련되었습니다.

Amazon v. Perplexity 사건에서 미국 연방 지방 판사 맥신 체스니(Maxine Chesney)는 퍼플렉시티(Perplexity)의 Comet 브라우저 에이전트가 쇼핑객을 대신해 아마존에 접속하는 것을 차단해 달라는 아마존의 가처분 신청을 인용했습니다. 법원은 퍼플렉시티가 Comet을 일반 크롬 세션으로 위장하고 2024년 11월 이후 최소 5차례의 중단 요구(cease-and-desist) 경고를 우회함으로써 **컴퓨터 사기 및 남용에 관한 법률(Computer Fraud and Abuse Act)**을 위반했다는 아마존의 주장이 타당하다고 판단했습니다.

이 판결문에는 전 세계 컴플라이언스 팀들이 인쇄하여 벽에 붙여둔 단 한 문장이 포함되어 있었습니다.

"Comet은 아마존 사용자의 허가는 받았으나, 아마존의 승인(authorization) 없이 아마존 계정에 접속했다."

이 차이, 즉 사용자의 권한 부여가 플랫폼의 승인과 동일하지 않다는 점은 이제 모든 에이전트 개발사가 반드시 고려해야 할 원칙이 되었습니다. 제9순회항소법원이 항소 결과가 나올 때까지 가처분 집행을 일시 중단했기 때문에 Comet은 오늘날에도 아마존에서 작동하고 있습니다. 하지만 그 논리는 변하지 않습니다. 이는 모든 소매업체, 거래소, 브로커, 은행에 대해 "사용자가 괜찮다고 했다"는 말이 더 이상 자사 플랫폼에서의 자율형 에이전트 행동에 대한 충분한 법적 방어 수단이 될 수 없음을 시사합니다.

에이전트가 자신이 누구인지, 누가 보냈는지, 무엇이 허용되는지 증명할 수 없다면, 플랫폼은 이들을 거부할 수 있으며, 점점 더 거부해야만 하는 상황에 놓이게 될 것입니다.

수치로 본 96:1 비대칭성​

퍼플렉시티 사건이 도화선이 되었지만, 화약은 수년간 쌓여왔습니다.

• 신원 역전. 금융 서비스에서 기계 계정(서비스 계정, API 토큰, 자동 거래 봇, 모델 기반 리스크 엔진)은 인간 직원의 수를 거의 100 대 1로 앞지르고 있으며, a16z는 에이전트 강화 부문에서 특히 96:1이라는 수치를 언급했습니다.
• 운영 발자국. 스테이블코인 결제 네트워크는 이미 에이전트 레일 위에서 실질적인 거래량을 이동시키고 있습니다. 블룸버그의 2026년 3월 보고서에 따르면 x402 스타일의 에이전트 결제는 가장 보수적인 측정치로 월 약 160만 달러에 달하며, 다른 측정치로는 훨씬 더 높습니다. 이는 수조 달러에 달하는 전체 스테이블코인 전송량에 비하면 미미하지만, 분기마다 두 배씩 성장하고 있습니다.
• 은행 등급의 거래, 유령 등급의 신원. 에이전트는 이제 컴플라이언스 담당자가 검토한 적도 없고, 지휘 체계 문서에 명시된 적도 없으며, 현재 법원이 소환장을 발부하는 방법조차 모르는 자격 증명을 사용하여 API 액세스를 협상하고, 소액 결제를 정산하며, 스마트 컨트랙트 인텐트에 서명하고, 거래소 계좌를 개설합니다.

인간의 KYC가 확장되는 데는 30년이 걸렸습니다. 1970년에 은행 비밀법이 통과되었고, 1990년에 FinCEN이 창설되었으며, 고객 식별 규칙의 실효성은 **2001년 미국 애국법(USA PATRIOT Act)**과 함께 확보되었습니다. 법 제정부터 집행 가능한 신원 인프라까지 대략 30년이 걸린 셈입니다.

에이전트에게는 30년의 시간이 주어지지 않습니다. 이들은 이미 인간의 공시 체계에 비해 기계적인 속도로 거래하고 있습니다. Web3Caff Research의 주장이자 점점 더 공고해지고 있는 합의된 의견은, KYA가 향후 12개월에서 24개월 내에 이러한 숙성 곡선을 압축해야 하며, 그렇지 않으면 에이전트 경제가 가장 먼저 출시되는 임시방편적인 해결책을 중심으로 고착화될 것이라는 점입니다.

표준이 되기 위해 경쟁하는 네 가지 기본 요소​

네 개의 매우 다른 진영이 스택의 동일한 공백을 메우기 위해 모여들고 있습니다. 아직 승자는 없으며, 영리한 투자자들은 최종적인 해답이 각 진영의 요소들로 구성될 것이라고 말합니다.

1. 스카이파이어(Skyfire)의 KYAPay — 결제를 위해 구축된 신원​

스카이파이어의 제안은 가장 구체적입니다. 개방형 신원 프로토콜(현재 IETF 초안인 KYAPay)을 에이전트 전용으로 구축된 USDC 정산 결제 레일과 결합하는 것입니다. KYAPay에 등록된 모든 에이전트는 제공자 리뷰, 운영 정책 리뷰, 목적 리뷰 및 보안 리뷰를 거친 후, ERC-8004 호환 어테스테이션(Attestation)으로 온체인에 기록되는 KYA 검증 에이전트 ID를 부여받습니다.

2025년 12월, 스카이파이어는 Visa Intelligent Commerce를 사용한 KYAPay 매개 구매를 공개적으로 시연했습니다. 이는 카드 소유자가 암호학적으로 검증 가능한 출처를 가진 자율형 에이전트인 Visa 네트워크 거래를 의미합니다. 이 제품은 2026년 초 베타 버전을 벗어났으며, 프로토콜의 정산 모델(즉시 USDC 정산, 차지백 없음)은 이미 에이전트 간 상거래의 참조 아키텍처로 채택되고 있습니다.

즉, 스카이파이어는 에이전트 경제를 위한 Plaid + Mastercard SecureCode가 되고자 합니다.

2. 이더리움의 ERC-8004 — 공공 인프라로서의 신원​

2026년 1월 29일, ERC-8004 ("Trustless Agents") 가 이더리움 메인넷에 정식 출시되었습니다. 세 가지 경량 레지스트리가 대부분의 작업을 수행합니다:

• ERC-721 기반으로 구축된 신원 레지스트리 (Identity Registry) 는 모든 에이전트에게 등록 문서로 연결되는 이식 가능하고 검열 저항적인 온체인 핸들을 부여합니다.
• 온체인 (조립 가능) 및 오프체인 (정교함) 피드백 신호를 모두 처리하는 평판 레지스트리 (Reputation Registry) 는 스코어링, 감사 및 보험을 위한 전문 서비스를 가능하게 합니다.
• 스테이킹 보증 재실행 (stake-secured re-execution), zkML 증명 또는 TEE 증명을 위한 후크를 갖춘 검증 레지스트리 (Validation Registry).

이더리움 재단 (Ethereum Foundation) 의 새로 창설된 탈중앙화 AI ("dAI") 팀 은 ERC-8004를 전략적 로드맵의 핵심 기둥으로 명시했습니다. 이어지는 후속 제안인 ERC-8220 (온체인 AI 거버넌스를 위한 표준 인터페이스) 가 2026년 4월 7일에 제안되었으며, 이미 개발자들의 실험을 이끌어내고 있습니다. 결정적으로, ERC-8004는 신뢰 모델에 대해 특정한 의견을 고집하지 않습니다 — 이는 레지스트리만을 제공하며, 평판, 스테이킹, zk 또는 TEE 증명 중 어떤 것이 주어진 맥락에 적합한 검증 기본 단위 (primitive) 인지는 시장이 결정하도록 합니다.

이러한 중립성 덕분에 ERC-8004는 공공재 성격의 신원 계층에 가장 근접한 모델로 부상했습니다.

3. MetaComp의 StableX KYA — 규제 기관 대응형 거버넌스​

2026년 4월, 싱가포르 기반의 MetaComp 는 규제 대상 금융 서비스를 위해 특별히 설계된 세계 최초의 KYA (Know Your Agent) 프레임워크를 출시했습니다. 이 프레임워크는 네 가지 기둥을 중심으로 구성됩니다:

1. 에이전트 신원 및 등록
2. 권한 및 허가 제어
3. 행동 모니터링 및 리스크 인텔리전스
4. 생태계 및 상호작용 거버넌스

이 프레임워크의 가장 중요한 설계 선택은 인간 중심의 책임성 (human-centered accountability) 에 대한 고집입니다. 즉, 권한 부여와 법적 책임은 항상 책임을 질 수 있는 실명의 실제 인물로 추적됩니다. 이 원칙이 바로 KYA를 MAS, SEC, FCA와 같은 규제 기관들이 수용할 수 있게 만드는 요소입니다. 또한, 이는 향후 FATF 트래블 룰 (Travel Rule) 의 확장 버전이 에이전트 간 거래에 적용될 때, 거래 자체와 함께 검증된 주체 신원의 교환을 요구하게 될 것과 동일한 원칙입니다.

4. Billions Network 및 탈중앙화 신원 진영​

네 번째 진영은 단일 제품이 아닙니다. 이는 인간 수준의 탈중앙화 신원 기본 단위 (primitives) 를 에이전트 계층까지 확장하려는 보다 광범위한 탈중앙화 신원 스택 (Billions Network, Civic, Polygon ID, World ID, W3C 검증 가능한 자격 증명 커뮤니티) 입니다. 이들의 아키텍처적 도박은 에이전트의 자격 증명이 인간의 검증 가능한 자격 증명 (verifiable credential) 과 매우 유사해야 한다는 것입니다. 즉, 등록된 주체에 의해 서명되고, 명시적인 권한 범위가 정해지며, 취소 가능하고, 여러 관할 구역 간에 이식 가능해야 한다는 점입니다.

어떤 기본 단위가 승리하든, 네 가지 진영 모두 다음 세 가지 속성으로 수렴됩니다:

• 에이전트와 법적 책임을 지는 지명된 주체 사이의 암호학적 연결 (cryptographic link).
• 플랫폼이 에이전트를 신뢰하지 않고도 확인할 수 있는 명시적인 권한 범위 (explicit permission scope).
• 규제 기관 (또는 상대방) 이 실시간으로 조회할 수 있는 취소 및 감사 채널 (revocation and audit channel).

왜 올해 이 압축이 일어나야만 하는가​

세 가지 힘이 동시에 일정을 압박하고 있습니다.

법적 요인 은 Amazon v. Perplexity 사건입니다. 주요 소매업체가 CFAA 근거로 승소하는 즉시, 모든 플랫폼의 법무팀은 증명 가능한 에이전트 권한 부여를 요구하거나 기본적으로 차단할 강력한 동기를 갖게 됩니다. 가처분 신청은 유예될 수 있지만, 그 법리는 이미 시장에 반영되고 있습니다.

경제적 요인 은 에이전트 매개 커머스의 폭발적 증가입니다. Visa의 CEO는 에이전트 결제를 전략적 우선순위로 공개적으로 언급했습니다. Circle과 Stripe는 결제 레일 (settlement rails) 을 구축하기 위해 경쟁하고 있습니다. Coinbase, MoonPay, Skyfire는 경쟁적인 지갑 사양을 발표하고 있습니다. 이 모든 스택이 확장되기 위해서는 KYA 계층이 필요합니다. 그렇지 않으면 모든 거래가 부정 거래 탐지 팀의 책무가 될 것이기 때문입니다.

규제적 요인 은 FATF, FinCEN, SEC가 기존 프레임워크를 조용히 확장하고 있다는 점입니다. 에이전트가 "고객"인지에 대한 존재론적 논쟁 때문에 트래블 룰 의무가 중단되지는 않습니다. 스테이블코인 발행사가 에이전트 매개 흐름에 대한 제재 심사 책임을 지게 된다면, 상류 단계에서 검증된 에이전트 신원을 요구할 것이며, 그 요구는 연쇄적으로 확산될 것입니다.

KYC를 위해 30년이 걸렸던 것은 아날로그 시대의 사치였습니다. 에이전트는 수조 달러 규모의 유동성 풀을 대상으로 밀리초 단위로 거래하며, 사실상 무제한으로 확산됩니다. 규제 준수 스택도 기계의 속도로 작동하지 않으면, 그 간극은 시스템적 리스크가 될 것입니다.

빌더들이 지금 해야 할 일​

개발자와 인프라 팀에게 향후 12개월은 이례적으로 높은 영향력을 발휘할 수 있는 시기입니다. 세 가지 구체적인 조치가 권장됩니다:

1. 에이전트 신원을 메타데이터가 아닌 일급 자격 증명 (first-class credential) 으로 취급하십시오. 여러분의 서비스가 에이전트 트래픽을 허용한다면, 첫날부터 KYA 스타일의 증명을 지원하도록 설계하십시오. ERC-8004 조회를 지원하는 한계 비용은 작지만, Perplexity 스타일의 판결 이후에 이를 사후 보완하는 비용은 엄청납니다.
2. 검증 모델을 의도적으로 선택하십시오. 평판, 스테이킹, zkML, TEE는 각각 비용, 지연 시간, 보증 수준이 다릅니다. 트레이딩 에이전트는 콘텐츠 구매 에이전트와 다른 보증이 필요합니다. 기본 설정을 따르지 말고, 위협 모델에 따라 선택하십시오.
3. 인간이 추적 가능한 책임을 계획하십시오. 여러분의 스택이 완전히 탈중앙화되어 있더라도, 규제 기관은 여전히 이름을 원할 것입니다. "누가 이 에이전트에게 권한을 부여했는가"에 대한 답을 1초 이내에 내놓을 수 있도록 주체 바인딩 (principal-binding) 을 설계하십시오.

기회는 의무와 대칭적입니다. 신뢰할 수 있는 에이전트 신원 인프라를 가장 먼저 출시하는 팀이 에이전트가 서명하는 모든 결제, 모든 API 호출, 모든 스마트 컨트랙트 인텐트의 기반이 될 것입니다. 이는 매우 방대한 영역입니다.

신뢰의 조용하고 중요한 재편​

2026년의 이야기는 단순히 "AI 에이전트가 오고 있다"는 것이 아닙니다. 그들은 이미 여기에 있습니다. 진정한 이야기는 금융 시스템이 이들을 인식하고, 제한하며, 그들이 요구하는 신뢰의 가격을 책정하기 위해 실시간으로 재설계되고 있다는 점입니다.

KYC(고객 알기 제도)는 30년이 걸렸습니다. 이를 잘못 처리했을 때의 대가가 일련의 규제 준수 벌금과 서서히 진행되는 신뢰의 침식이었기 때문입니다. KYA(에이전트 알기 제도)는 30년이나 걸릴 수 없습니다. 잘못 처리했을 때의 대가가 이름도, 경계도, 정지 스위치도 없는 기계 속도의 자율적인 거래 상대방이기 때문입니다.

다행히도 기초 요소(primitives)는 존재합니다. ERC-8004는 메인넷에서 가동 중입니다. KYAPay는 IETF 초안 파이프라인에 있습니다. MetaComp는 규제 기관 수준의 프레임워크를 시장에 출시했습니다. Billions Network와 광범위한 DID(탈중앙화 신원 증명) 커뮤니티는 인간 수준의 신원을 에이전트 계층으로 확장하고 있습니다. 이제 남은 고된 작업은 구성(composition)입니다. 즉, 이러한 조각들을 실제로 자금, 데이터, 의사결정이 이동하는 궤도(rails)에 연결하는 일입니다.

96:1 문제는 실재합니다. 좋은 소식은 사상 처음으로 위협과 동일한 클록 속도(clock-speed)로 대응책이 구축되고 있다는 점입니다.

---

BlockEden.xyz는 Sui, Aptos, Ethereum 및 25개 이상의 다른 체인에서 프로덕션 등급의 RPC 및 인덱싱 인프라를 운영합니다. 이는 에이전트 증명(attestation) 조회, ERC-8004 레지스트리 쿼리, KYA 인증 결제 흐름이 구동되는 것과 동일한 기반 시설입니다. 에이전트 신원이 일급 인프라 프리미티브로 자리 잡음에 따라, 기계 속도 경제를 위해 설계된 레일 위에서 빌드하기 위해 BlockEden.xyz의 API 마켓플레이스를 살펴보세요.

출처​

• 연방 판사, Perplexity의 AI 브라우저가 아마존에서 구매하는 것을 차단 — CyberScoop
• 아마존-Perplexity 분쟁, AI 에이전트 책임에 대한 의문 제기 — IAPP
• 법원, Perplexity의 아마존 금지 명령 일시 해제 — MediaPost
• AI 에이전트 경제의 신원 병목 현상: 블록체인 레일이 해결할 수 있다 — a16z (via Yahoo Tech)
• a16z Crypto 2026년 예측: DeFi를 재편하는 4가지 트렌드 (AI 에이전트, KYA, 프라이버시)
• Skyfire, KYAPay와 Visa Intelligent Commerce를 이용한 보안 에이전트 커머스 구매 시연 — BusinessWire
• Skyfire KYAPay 프로필 — IETF 초안
• ERC-8004: 신뢰가 필요 없는 에이전트 — Ethereum EIPs
• ERC-8004: 신뢰가 필요 없는 AI 에이전트 신원을 위한 개발자 가이드 — QuickNode
• MetaComp, 규제 대상 금융 서비스를 위한 AI 에이전트 거버넌스 프레임워크 출시
• 싱가포르 MetaComp, AI 에이전트 거버넌스 프레임워크 출시 — Blockhead
• 에이전트 알기 (KYA) — Sumsub
• 은행비밀법 (The Bank Secrecy Act) — FinCEN
• 금융 투명성 55년: 은행비밀법 재조명 — Fenergo
• 스테이블코인 기업들, 거의 존재하지 않는 AI 에이전트 결제에 거액 베팅 — Bloomberg
• B.AI, TRON에서 에이전트 AI 결제 및 신원 서비스 출시 — GN Crypto

4개월 만에 모두가 "이더리움의 저가형 버전" 이라며 무시했던 체인이 인터넷에서 자율 AI 에이전트를 위한 가장 주목받는 주소가 되었습니다.

2026년 1월 1일, BNB 체인 (BNB Chain) 에 상주하는 온체인 AI 에이전트는 400개 미만이었습니다. 그러나 4월 20일경 8004scan의 서드파티 데이터에 따르면 그 수는 150,000개를 넘어섰습니다. 이는 약 43,750% 의 급증으로, 모든 블록체인에 존재하는 자율 에이전트 3개 중 1개에 해당하는 수치입니다. 이더리움 맥시멀리스트들을 공포에 떨게 했을 이 숫자는 각주에 숨겨져 있었습니다. 2월 17일까지 BNB 체인의 AI 에이전트 생태계는 인프라, 소셜, DeFi, 트레이딩, 게이밍, 엔터테인먼트를 아우르는 10개 카테고리에서 58개 이상의 활성 프로젝트를 확보했습니다. 1월 29일 ERC-8004가 라이브로 전환된 지 불과 3주 만에, 이더리움 메인넷은 자체 표준에 대한 배포 경쟁에서 이미 밀리고 있었습니다.

이것은 또 다른 "이더리움 킬러" 의 순환 논리가 아닙니다. 훨씬 더 조용하고 위험한 변화입니다. L1의 리더십을 정의하는 지표가 바뀌고 있으며, 새로운 지표에서 승리하는 체인은 과거의 지표에서 승리할 필요가 없습니다.

2026년 4월 18일 오전, 한 공격자가 아무런 근거 없이 116,500 rsETH를 조용히 발행했습니다. 48시간 후, Aave에서는 84억 5,000만 달러의 예치금이 사라졌고, 전체 DeFi TVL은 132억 1,000만 달러가 유출되었으며, 2억 9,200만 달러 규모의 브릿지 허점은 암호화폐 최대 대출 프로토콜인 Aave에서 2억 달러 규모의 부실 채권(bad-debt) 구멍으로 변했습니다. Aave는 공격자로부터 단 하나의 rsETH도 보유하고 있지 않았지만, 그럴 필요조차 없었습니다.

KelpDAO 사건은 "2026년 최대의 DeFi 해킹"으로 기록되고 있지만, 그러한 프레임은 실제로 일어난 일을 과소평가하는 것입니다. 익스플로잇(exploit)은 트리거에 불과했으며, 진짜 이야기는 그로 인한 연쇄 반응(cascade)이었습니다. 단 하나의 변조된 크로스체인 메시지가 긴밀하게 연결된 대출 그래프(lending graph)를 타고 파급되었고, 테라(Terra) 사태 이후 DeFi 내러티브가 조용히 무시해 온 아키텍처적 진실을 폭로했습니다. 즉, 블루칩 대출은 재귀적 인프라(reflexive infrastructure)이며, 하나의 담보 자산의 실패는 전체 그래프의 뱅크런(withdrawal run)으로 이어진다는 사실입니다.

브릿지: 1-of-1 검증자가 라자루스 그룹의 작전에 휘말리다​

이번 익스플로잇의 메커니즘은 올해 당신이 읽게 될 가장 명확한 중복성(redundancy)의 필요성에 대한 논거입니다. Kelp는 1-of-1 LayerZero 탈중앙화 검증자 네트워크(Decentralized Verifier Network) 구성에서 rsETH를 운영했습니다. 쉽게 말해, 브릿지가 토큰을 발행하거나 해제하기 전에 단 한 명의 검증자만이 크로스체인 메시지가 정당하다는 데 동의하면 되었습니다. 제2의 의견도, 쿼럼(정족수)도 없었습니다. 단일 신뢰 지점만 존재했으며, 정교한 국가 주도 해킹 조직이 이를 찾아냈습니다.

조사관들은 이번 공격의 배후로 북한의 라자루스 그룹(Lazarus Group)과 그 하부 조직인 트레이더트레이터(TraderTraitor)를 지목했습니다. 그들은 LayerZero의 자체 RPC 노드 중 두 개를 해킹하여 바이너리를 악성 버전으로 교체했습니다. 이 악성 바이너리는 선택적으로 거짓말을 하도록 설계되었습니다. 즉, 검증자에게는 허위 트랜잭션이 발생했다고 알리면서, 동일한 노드에 쿼리하는 다른 모든 시스템에는 정확한 데이터를 보고했습니다. 그 후, 그들은 검증자가 이중 체크용으로 사용하는 외부 RPC 노드에 DDoS 공격을 가했습니다. 외부 경로에 접속할 수 없게 되자, 검증자는 여전히 통신 가능한 유일한 노드, 즉 공격자가 장악한 두 개의 내부 노드로 페일오버(failover)했습니다.

결과적으로, 기초 자산인 ETH의 담보 없이 공격자 주소로 116,500 rsETH가 발행되었습니다. 이는 rsETH 유통량의 약 18%에 해당하며, 갑자기 담보가 사라진 이 자산들은 rsETH가 브릿징된 20개 이상의 체인으로 흩어졌습니다.

이후 이어진 책임 공방은 시사하는 바가 컸습니다. LayerZero는 프로토콜 취약점은 없었다고 주장했습니다. Kelp가 다중 검증자 설정을 권장하는 자체 통합 체크리스트를 무시했다는 것입니다. Kelp는 1-of-1 구성이 "LayerZero가 문서화한 기본 설정"을 따랐으며, 검증자 스택은 LayerZero의 자체 인프라였다고 반박했습니다. 두 주장 모두 사실일 수 있습니다. 그것이 핵심입니다. 프로덕션 급 시스템은 단 한 명의 방어자만 두지 않으며, "대부분의 경우 작동하는 기본 설정"은 2억 9,000만 달러와 국가 지원 적대 세력의 공격 앞에서 살아남을 수 없습니다.

연쇄 반응: rsETH가 더 이상 rsETH가 아니게 되었을 때​

담보가 없는 rsETH가 시장에 풀리자, 질문은 "Kelp가 해킹당했는가"에서 "어디에서 rsETH가 담보로 사용되고 있는가"로 바뀌었습니다. 답은 모든 곳이었습니다. Aave, SparkLend, Fluid, Morpho 등이 해당되었습니다. 리퀴드 리스테이킹 토큰(LRT)은 네이티브 ETH 수익률을 제공한다는 이유로 대출 스택 전체에서 화이트리스트에 올랐습니다. 위험 위원회와 파라미터 설정자들은 기초 토큰이 정상적인 조건에서 페깅(peg)을 유지할 것이라는 가정을 전제로 이 기능을 수용했습니다. 그 문장에서 "정상적인 조건"이라는 말이 생각보다 훨씬 큰 비중을 차지하고 있었다는 점은 아무도 인정하고 싶어 하지 않는 사실입니다.

가격 반응은 즉각적이었습니다. rsETH의 실제 담보 비율이 100%에서 약 82%로 추락하면서, rsETH를 담보로 대출을 실행한 모든 프로토콜은 자산 가치를 하락 조정해야 했습니다. 이는 자동 청산 로직을 트리거했습니다. 청산은 구매 수요가 없는 토큰에 대한 매도 압력을 강제했습니다. 가격 하락의 소용돌이는 스스로를 가중시켰습니다. 몇 시간 만에 Aave V3의 rsETH-wrapped-ETH 풀에는 약 1억 9,600만 달러의 부실 채권이 쌓였습니다. 이는 더 이상 존재하지 않는 담보로 보증된 대출들이었습니다.

하지만 실제 청산 손실은 작은 이야기에 불과했습니다. 진짜 큰 이야기는 뱅크런이었습니다.

뱅크런: 48시간 만에 Aave에서 84억 5,000만 달러가 빠져나가다​

DeFi 예치자들은 Aave 위험 위원회가 부실 채권을 어떻게 처리할지 기다려주지 않았습니다. 그들은 떠났습니다. CryptoQuant는 이를 2024년 이후 최악의 DeFi 유동성 위기라고 불렀습니다. 수치는 명확합니다.

• 84억 5,000만 달러의 예치금이 48시간 만에 Aave에서 빠져나감
• 같은 기간 동안 전체 DeFi TVL에서 132억 1,000만 달러가 증발함
• Aave TVL은 33% 급감하며 프로토콜 수준에서 66억 달러 이상이 사라짐
• 이용률이 100%에 달하면서 USDT 및 USDC 차입 이자율은 14%까지 치솟음
• 51억 달러 규모의 스테이블코인 예치금이 인출 제한에 직면함
• 재귀적 탈위험화(de-risking)가 다른 수익 창출 자산으로 확산되면서 USDe 공급량은 3일 만에 8억 달러가 줄어듦
• 4월 19일에서 20일 사이 Aave에서 발생한 3억 달러의 차입 급증은 사용자들이 이자율 상한선에 도달하기 전에 필사적으로 한도를 인출했음을 나타냄

이것이 바로 2022년 이후의 DeFi 내러티브가 마케팅으로 감추어 왔던 대출 기관의 재귀성 패턴입니다. Aave는 Kelp 토큰을 직접 보유하지 않았습니다. Aave 프로토콜은 익스플로잇되지 않았습니다. Aave의 스마트 컨트랙트는 설계된 대로 정확하게 작동했습니다. 하지만 그것은 중요하지 않았습니다. 시장은 전염 효과를 정확하게 가격에 반영했습니다. 만약 rsETH가 하룻밤 사이에 0이 될 수 있다면, Aave의 담보 목록에 있는 다른 모든 리퀴드 리스테이킹 토큰도 그렇게 될 수 있습니다. 담보 목록이 훼손되었다면 대출 시장도 훼손된 것입니다. 먼저 탈출하고, 질문은 나중에 하십시오.

구제 금융: "DeFi United"와 대마불사의 새로운 정치학​

그다음에 일어난 일은 아마도 해킹 자체보다 더 중요할 것입니다. 에이브(Aave)의 서비스 제공자들은 "DeFi United"라는 연합을 결성하여 단 하나의 목표를 세웠습니다. 바로 rsETH의 자본을 재확충하고, 전염병이 시스템에 또 다른 구멍을 내기 전에 에이브의 악성 부채를 해결하는 것이었습니다.

4월 26일까지 이 연합은 목표치인 약 2억 달러 중 약 1억 6,000만 달러를 모금했습니다. 4월 28일까지 펀드는 132,650 ETH (약 3억 300만 달러)로 성장했으며, 이는 rsETH의 담보 가치를 완전히 복구하기에 충분한 금액이었습니다. 가장 큰 기여자는 맨틀(Mantle)과 에이브 DAO(Aave DAO)였으며, 이들은 함께 55,000 ETH (약 1억 2,700만 달러)를 약정했습니다. 에이브의 설립자인 스태니 쿨레초프(Stani Kulechov)도 개인적으로 5,000 ETH를 기부했습니다.

이 상황이 시사하는 바는 놀랍습니다. 세계 최대의 디파이 대출 프로토콜이 제3자(LayerZero)의 해킹 이후, 개별 참가자가 통제할 수 없는 논리(담보로서의 유동성 리스테이킹)를 방어하기 위해 별도의 프로젝트에서 발행한 토큰에 대해 다중 프로토콜 구제 금융을 조율한 것입니다. 이 구제 금융은 에이브의 켈프(Kelp)에 대한 노출 때문이 아니라, 에이브 사용자들의 신뢰에 대한 노출 때문에 추진되었습니다. 만약 rsETH가 복구되지 않은 상태로 방치되었다면, 다음에 흔들릴 담보 자산은 나머지 대출 그래프 전체를 비워버렸을 것입니다.

이것이 바로 디파이에서의 대마불사(too-big-to-fail)의 모습입니다. 평소에는 TVL을 위해 경쟁하던 프로토콜들이 담보 간의 상관관계가 모두의 기반을 위협할 때는 서로 협력합니다. 캐슬 랩스(Castle Labs) 리서치 노트의 프레임워크는 날카롭습니다. 이 구제 금융은 에이브가 대마불사임을 증명했습니다. 왜냐하면 rsETH를 손상된 상태로 두는 대안은 디파이 전반에 걸쳐 모든 수익 발생형 담보 자산에 대한 시스템적 재평가를 강요했을 것이기 때문입니다. 커브(Curve) 설립자 마이클 에고로프(Michael Egorov)의 날 선 반대 제안 — 사회화된 구조 대신 시장 메커니즘을 통해 악성 부채를 정리하게 두라는 주장 — 은 철학적 긴장감을 잘 보여줍니다. 구제 금융은 도덕적 해이이기도 합니다.

역사적 거울: 알고리즘 없는 재귀성​

켈프에 대한 적절한 비교 대상은 2022-2023년의 브리지 해킹(Ronin, Wormhole, Nomad)이 아닙니다. 그 해킹들은 규모는 더 컸지만 구조적으로는 더 단순했습니다. 가치가 브리지를 떠나 돌아오지 않았을 뿐입니다. 켈프는 훨씬 더 흥미로운 사례였습니다. 상대적으로 억제된 2억 9,200만 달러 규모의 익스플로잇(exploit)이 발생했지만, 담보 그래프 자체가 취약점이었기 때문에 완벽하게 작동하는 프로토콜들을 통해 130억 달러 이상의 연쇄 인출을 유발했습니다.

적절한 비교 대상은 테라/UST입니다. rsETH가 알고리즘 방식이었기 때문이 아니라(이론적으로는 완전 담보형이었습니다), 실패 모드가 재귀적이었기 때문입니다. UST는 루나(LUNA)에서 가치를 끌어왔고, 루나는 UST의 태환성 약속에서 가치를 끌어왔습니다. 그 약속이 깨지자 루프가 붕괴되었습니다. 유동성 리스테이킹 토큰(LRT)은 기본적으로 스테이킹된 ETH와 프로토콜 수준의 상환 메커니즘이 유지될 것이라는 약속에서 가치를 창출합니다. 켈프의 브리지가 침해되었을 때 특정 LRT에 대한 약속이 깨졌고, 시장은 대출 그래프의 다른 모든 LRT에도 동일한 구조적 가정이 깔려 있다고 합리적으로 추측했습니다.

셀시어스(Celsius)는 두 번째 거울입니다. 셀시어스는 2022년 7월에 대출 자체가 잘못되어 무너진 것이 아니라, 담보(stETH)가 여러 프로토콜에서 재귀적으로 사용되었고 동일한 예치자 기반이 동시에 인출할 수 있었기 때문에 붕괴되었습니다. 에이브-켈프 사건은 동일한 역학 관계가 48시간으로 압축되어 셀시어스는 꿈도 꿀 수 없었던 규모로 전개된 것입니다. 결말을 바꾼 유일한 것은 구제 금융이었습니다. 이는 셀시어스에게는 없었던 사치였는데, 당시에는 이를 조직할 만큼 큰 주체가 없었기 때문입니다.

이것이 리스크 모델에 의미하는 바​

디파이 대출 리스크 모델은 지난 3년 동안 스테이블코인 디페깅, 거버넌스 토큰 변동성, 오라클 조작, 플래시 론 공격 등 고립된 담보 유형에 대해 더 똑똑해졌습니다. 하지만 켈프는 그들이 아직 해결하지 못한 카테고리를 드러냈습니다. 바로 수익 발생형 담보에서의 상관관계가 있는 브리지 리스크입니다.

에이브의 모든 유동성 리스테이킹 토큰은 한 가지 속성을 공유합니다. 크로스 체인 메시징 시스템이 계속 정직하게 운영되기 때문에 페깅이 유지된다는 점입니다. 이것이 rsETH, weETH, ezETH 및 나머지 자산들에 공유되는 단일 가설입니다. 하나의 브리지가 실패하면 시장은 단순히 그 자산의 가격만 재평가하는 것이 아니라 카테고리 전체를 재평가합니다. 왜냐하면 근본적인 가정은 자산 특정적인 것이 아니라 인프라 수준의 것이었기 때문입니다.

사후 분석에서 얻은 교훈은 명확합니다:

1. 다중 검증자 구성(Multi-verifier configurations)은 필수입니다. 1대1 신뢰 가정을 가진 모든 크로스 체인 브리지는 2억 9,200만 달러 규모의 익스플로잇이 일어나기를 기다리는 것과 같습니다. 독립적인 검증자들 간의 합의를 거치는 레이어제로(LayerZero)의 권장 다중 검증자 설정은 이 공격을 산술적으로 불가능하게 만들었을 것입니다. 중복 구성에 드는 비용은 이제 그것 없이 지내는 비용보다 확실히 저렴합니다.

2. 대출 프로토콜에는 상관관계 자산 스트레스 테스트가 필요합니다. LRT, LST 및 기타 수익 발생형 토큰에 대한 화이트리스트 결정은 가격 변동성과 TVL뿐만 아니라 공유된 인프라 의존성을 고려해야 합니다.

3. 브리지 공격은 더 이상 "브리지 문제"가 아닙니다. 브리지가 보호하는 자산이 하류의 모든 시스템에 깊이 내포되어 있기 때문에, 이는 대출 시장의 문제이자 스테이블코인 유동성 문제이며 DEX 실행의 문제입니다.

4. 기능으로서의 DDoS(DDoS-as-a-feature). 라자루스 그룹(Lazarus Group)의 공격은 DDoS, RPC 침해, 바이너리 교체를 하나의 조율된 작전으로 엮어냈습니다. 방어자는 고립된 구성 요소의 실패가 아니라, 조율된 다중 벡터 공격을 모델링해야 합니다.

인프라 측면의 시사점​

이 스택 아래에서 RPC 제공자, 인덱서, 브릿지 운영자 등 인프라를 운영하는 빌더들에게 Kelp 사건은 일종의 강제 함수(forcing function) 역할을 합니다. 시장은 이제 운영상의 중복성(redundancy)과 검증인 다양성을 사후 고려 사항이 아닌 핵심 기능으로 공개적으로 가격에 반영하고 있습니다. 부하 상황(stress events) 중 RPC 노드 가용성은 하룻밤 사이에 신뢰도 지표가 되었습니다. 이러한 일련의 사태를 우아하게 처리한 체인들 — 트랜잭션이 여전히 확정되고, 오라클이 동기화 상태를 유지하며, 대출 시장이 계속 청산된 체인들 — 은 향후 18개월 동안 기관의 통합 선택에 반영될 평판의 복리 효과를 얻었습니다.

BlockEden.xyz는 25개 이상의 블록체인에서 엔터프라이즈급 RPC 및 인덱싱 인프라를 운영하며, 이러한 부하 상황에서 막대한 자금이 걸린 DeFi 프로토콜들이 의존하는 중복성 및 가동 시간 아키텍처를 제공합니다. 연쇄적인 사태가 닥칠 때, 끝까지 살아남는 프로토콜은 데이터 레이어가 단 한 순간도 흔들리지 않은 프로토콜들입니다.

향후 전망​

Aave는 부실 채권 변제를 마무리할 것이고, 거버넌스 투표는 통과될 것이며, rsETH는 결국 복구된 담보 가치에 맞춰 가격이 재조정될 것입니다. 하지만 Kelp 이후의 시장은 이전의 시장과는 다를 것입니다. 이제 세 가지가 변했습니다:

• LRT 담보에 대한 리스크 프리미엄이 상승합니다. 담보 인정 비율(LTV)은 더욱 엄격해질 것입니다. 일부 소규모 LRT는 담보 자격을 완전히 상실할 것입니다. 일반적인 stETH 대신 LRT를 보유하는 것을 정당화했던 수익률 차이는 방금 재보정되었습니다.
• 브릿지 아키텍처 실사가 공개적인 의례가 됩니다. "이 토큰은 1-of-1 검증인을 사용하는가?"는 이제 DeFi 프로토콜이 래핑되거나 브릿징된 자산을 화이트리스트에 추가하기 전에 반드시 물어야 할 합리적인 질문이 되었습니다.
• DeFi의 '대마불사(Too-Big-to-Fail)' 플레이북이 이제 체계화되었습니다. Aave는 상관관계가 기저 레이어를 위협할 때 프로토콜들이 신속하게 구제금융을 조율할 수 있음을 증명했습니다. 이 능력은 다시 테스트받게 될 것이며, 다음 테스트는 이것이 확장 가능한지 여부를 밝혀낼 것입니다.

"블루칩의 안전성"이라는 논제는 Kelp 사건으로 사장되지 않았습니다. 다만 그것이 실제로 무엇을 의미하는지 인정할 수밖에 없게 되었습니다. DeFi에서 블루칩이란 단일 프로토콜의 건전성이 아니라 전체 담보 그래프가 함께 유지되는 기능의 결과물입니다. 그래프가 흔들리면 칩들도 함께 흔들립니다. 유일한 진정한 안전은 중복성이 있고 상관관계가 낮으며 느리게 변화하는 담보 세트 — 그리고 사태가 발생하고 48시간이 지난 후가 아니라 연쇄 반응이 시작되기 전에 이를 방어하는 규율입니다.

출처:

• $2억 9,200만 달러 규모의 Kelp 암호화폐 익스플로잇: 발생 경위와 DeFi에 미치는 의미 (CoinDesk)
• Kelp DAO, 20개 체인에 래핑된 이더가 묶인 채 2억 9,200만 달러 익스플로잇 발생 (CoinDesk)
• 이틀 만에 130억 달러 규모의 DeFi 자산 증발, KelpDAO 공격에서 시작 (CoinDesk)
• Aave, Kelp 해킹으로 DeFi 대출 서비스의 구조적 리스크 노출되며 TVL 60억 달러 감소 기록 (CoinDesk)
• Kelp DAO 해킹으로 AAVE에서 100억 달러 출금 촉발 (Crypto Briefing)
• Cryptoquant: KelpDAO 해킹 '전염'으로 2024년 이후 최악의 DeFi 유동성 위기 발생 (Bitcoin.com)
• 단일 LayerZero DVN 침해로 KelpDAO에서 2억 9,200만 달러가 유출된 경위 (Blockaid)
• KelpDAO 브릿지 익스플로잇 분석 (Chainalysis)
• LayerZero, 2억 9,000만 달러 익스플로잇의 원인으로 Kelp의 설정을 지목하며 북한 라자루스 그룹의 소행으로 추정 (CoinDesk)
• Aave, Kelp DAO 익스플로잇으로 발생한 부실 채권 변제에 필요한 2억 달러 중 약 80% 확보 (CoinDesk)
• Aave, rsETH 담보 복구를 위해 DeFi 연합 주도 (CryptoNewsZ)
• Curve 창립자, Aave의 구제금융과 대조되는 시장 기반의 해결책 제시 (CoinDesk)
• Aave가 대마불사임을 보여준 DeFi 구제금융 (Castle Labs)
• 2026년 DeFi 전염 리스크: Kelp DAO–Aave 위기 분석 (FinanceFeeds)
• rsETH 사고 보고서 (Aave Governance)
• 리퀴드 리스테이킹의 400% 급증은 DeFi 썸머의 예고인가 — 테라처럼 붕괴하지 않는다면 (DL News)

지난 10년의 대부분 동안 이더리움의 보안 내러티브는 "금융의 미래를 위해 충분히 안전함"이라는 열망 섞인 것이었습니다. 2026년, 그 미래는 예상보다 빨리 다가왔고 이더리움 재단(Ethereum Foundation)은 이제 더 이상 조건부로 말하기를 멈췄습니다.

2026년 2월 5일, 재단은 6개 엔지니어링 영역 전반에서 네트워크의 방어 상태를 추적하는 실시간 "1조 달러 보안 대시보드(Trillion Dollar Security Dashboard)"를 공개했습니다. 4일 후에는 월렛 드레이너(wallet drainers, 지갑 탈취기)를 소탕하기 위해 보안 연맹(SEAL)과의 공식 파트너십을 발표했습니다. 4월 14일까지 재단은 Nethermind, Chainlink Labs, Areta 및 20개 이상의 최상위 감사 기업들과 함께 100만 달러 규모의 감사 보조금 풀을 약정했습니다. 이 세 가지 움직임을 관통하는 기조는 동일하며 이례적으로 직설적입니다. 이더리움은 이미 약 1,750억 달러 이상의 스테이블코인, 125억 달러 이상의 토큰화된 실물 자산(RWA), 수천억 달러 규모의 DeFi 스택을 보호하고 있으며, "1조 달러 임계값"은 이제 마케팅 문구가 아닌 운영 사양(operating spec)이라는 것입니다.

이는 조용하지만 심오한 프레임의 재구성입니다. 수년 동안 이더리움 재단의 보안 자금 지원은 프로젝트별 버그 바운티, ESP 그랜트, 간헐적인 감사 위원회의 구조 작업 등 파편화되어 있었습니다. 2026년의 이니셔티브는 "1조 달러 보안"을 단일 시스템 레벨의 엔지니어링 문제로 취급하며, 이전의 접근 방식이 위험에 처한 자산 가치에 비해 구조적으로 과소평가되었음을 암시적으로 인정하고 있습니다.

"크립토 네이티브에게 적합함"에서 "규제된 자본을 위해 설계되었음을 증명함"으로​

이더리움 메인넷에서 보호되는 자산 규모는 수년 동안 이더리움 자체의 보안 지출을 앞질러 왔습니다. 1,850억 달러 이상의 테더(Tether) 미국 국채 준비금, 블랙록(BlackRock)의 22억 달러 규모 BUIDL 기업 어음 토큰화, JP모건의 토큰화된 머니마켓 펀드, 그리고 2026년 말까지 3,000억 달러에 달할 것으로 예상되는 토큰화된 RWA 시장 모두 "기관급 규모의 이더리움 메인넷 보안"을 수탁의 근거로 명시하고 있습니다. 그러나 2026년 이전까지 모든 이더리움 얼라이언스 팀의 연간 보안 지출은 수천만 달러 수준에 불과했습니다.

비교를 위해, 단 하나의 전통 금융(TradFi) 청산소인 DTCC만 해도 2024년에 4억 달러 이상의 사이버 보안 지출을 보고했습니다. SWIFT와 연준(Federal Reserve) 결제 시스템은 각각 수십억 달러 규모의 전담 보안 조직을 운영합니다. 보호되는 자산 가치와 보안 투자 사이의 불일치는 작은 간극이 아니었습니다. 이는 일반적인 금융 인프라 맥락에서는 자격 미달 수준의, 자릿수가 다른 격차였습니다.

"1조 달러 보안" 이니셔티브는 쉬운 말로 표현하자면, 이더리움 재단이 그 격차를 인정하고 이에 맞춰 예산을 책정하는 것입니다.

대시보드: 솔리디티를 읽지 못하는 사람들을 위해 보안을 가독성 있게 만들기​

이번 발표에서 가장 과소평가된 부분이자 크립토 네이티브 청중에게 가장 생소한 것은 바로 trilliondollarsecurity.org의 공개 대시보드입니다. 이 대시보드는 사용자 경험, 스마트 컨트랙트, 인프라 및 클라우드 보안, 합의 프로토콜, 모니터링 및 사고 대응, 사회적 계층 및 거버넌스의 6개 차원에서 이더리움의 등급을 매깁니다.

각 영역은 현재의 리스크, 진행 중인 완화 전략, 진행 지표를 보여줍니다. 핵심은 비밀을 드러내는 것이 아닙니다. 기관의 리스크 관리 책임자(CRO)가 컴플라이언스 위원회에 제출할 수 있는 일관된 결과물을 제공하는 것입니다. "이더리움은 안전하다"는 것은 막연한 느낌입니다. "이더리움은 합의 클라이언트 다양성에서 X점, 사고 대응 시간에서 Y점, 감사된 TVL 비중에서 Z점을 기록했다"는 것은 정보보호최고책임자(CISO)가 서명할 수 있는 보고서가 됩니다.

이러한 커뮤니케이션 계층이 중요한 이유는 이더리움의 실제 보안 상태가 시장이 정중하게 침묵해온 방식으로 불균형하기 때문입니다. 다음 세 가지 수치가 이를 잘 보여줍니다.

• Geth의 실행 클라이언트 점유율은 41%에 육박하며, 이는 단일 클라이언트 버그가 최종성(finality)을 위협할 수 있는 33% 임계값에 위험할 정도로 근접해 있습니다. Nethermind(38%)와 Besu(16%)가 추격하고 있지만, 다양성이 아직 구조적으로 정착되지는 않았습니다.
• Lighthouse는 합의 클라이언트의 52.65%를 점유하고 있으며, Prysm은 17.66%입니다. 2025년 12월 Prysm의 리소스 고갈 버그로 인해 42개 에포크(epoch)에 걸쳐 248개의 블록 누락이 발생하여 참여도가 75%로 떨어졌고 검증인들은 약 382 ETH의 손실을 입었습니다. 이는 적은 손실이지만, 클라이언트 집중이 이론적인 위험이 아닌 실제적인 최종성 리스크임을 명확히 보여주었습니다.
• 2025년에만 월렛 드레이너가 이더리움 사용자로부터 8,385만 달러를 탈취했습니다. 이는 스마트 컨트랙트 감사가 결코 건드리지 못하는 사회적 계층의 공격 표면입니다.

대시보드의 역할은 이러한 수치들을 가시화하여 재단, 클라이언트 팀, 인프라 제공업체들이 이를 올바른 방향으로 개선하도록 지속적인 압력을 가하는 것입니다. 공개된 성적표는 비공개 성적표가 할 수 없는 일을 해냅니다.

SEAL과 아무도 책임질 여력이 없었던 월렛 드레이너 문제​

SEAL 파트너십은 대시보드의 첫 번째 구체적인 성과물입니다. 이더리움 재단은 이제 SEAL의 정보 팀에 소속된 풀타임 보안 엔지니어에게 자금을 지원하며, 특히 개인 사용자를 대상으로 하는 지배적인 공격 벡터인 피싱 키트, 서명 유도 사이트, 주소 포이즈닝 캠페인 등 월렛 드레이너 인프라를 식별하고 차단하는 일을 수행합니다.

월렛 드레이너는 크립토 업계에서 다루기 까다로운 문제입니다. 스마트 컨트랙트 버그가 아니기 때문에 전통적인 감사법으로는 해결할 수 없습니다. 프로토콜 버그도 아니기에 클라이언트 팀이 패치할 수도 없습니다. 이들은 MetaMask, ENS, 서명 UX, 그리고 인간의 주의력 사이의 틈새인 '사회적 계층'에 서식하며, 그동안 어떤 단일 엔티티도 이를 운영할 예산이나 권한을 갖지 못했습니다.

재단이 SEAL에 직접 자금을 지원하는 것은 조용하지만 중요한 선례가 됩니다. 이는 사회적 계층도 프로토콜 위협 모델의 일부이며, 온체인 결과물이 나오지 않더라도 재단이 이를 방어하기 위해 비용을 지불하겠다는 의지입니다. 밖에서 지켜보는 기관 발행사들에게 이는 그들이 결제 계층(settlement layer)에 기대하는 "전체 스택을 책임지는" 자세와 정확히 일치합니다.

또한 이는 전술적인 베팅이기도 합니다. 드레이너는 공격자의 반복 속도와 방어자의 대응 시간 사이의 비대칭성을 먹고 자랍니다. 몇 주가 아닌 몇 시간 내에 캠페인을 식별하고 인프라를 무력화할 수 있는 전담 정보 팀은 그 계산법을 완전히 바꿔 놓을 것입니다.

100만 달러 감사 보조금: 공공재로서의 보안 가격 책정​

4월 14일, 재단은 승인된 프로젝트를 대상으로 감사 비용의 최대 30%를 지원하는 100만 달러 규모의 감사 보조금 프로그램을 발표했습니다. 이 프로그램은 자금이 소진될 때까지 매월 새로운 코호트를 선정합니다. 위원회 파트너로는 Nethermind, Chainlink Labs, Areta가 참여하며, 20개 이상의 감사 법인이 공급 측면에서 협력합니다.

자격 설계가 흥미로운 부분입니다. 규모에 관계없이 모든 이더리움 메인넷 빌더가 신청할 수 있지만, 재단의 "CROPS" 원칙인 검열 저항성 (Censorship Resistance), 오픈 소스 (Open Source), 프라이버시 (Privacy), 보안 (Security)을 발전시키는 프로젝트에 우선순위가 주어집니다. 즉, 재단은 수익을 추구하는 프로토콜보다 공공재 성격의 인프라에 우선적으로 보조금을 지원할 것입니다. 이는 감사 비용으로 인해 소규모이지만 아키텍처적으로 중요한 팀들이 전문적인 검토를 받지 못하고 있다는 점을 재단이 명시적으로 인정한 것이며, 재단은 이러한 격차를 사적인 위험이 아닌 네트워크 수준의 위험으로 보고 있습니다.

이 설계에는 구조적 통찰력이 담겨 있습니다. 스마트 컨트랙트 감사는 긍정적 외부효과 (positive externality)를 가집니다. 널리 사용되는 라이브러리에 대한 깨끗한 감사 결과는 그 위에서 서비스를 구축하는 모든 사람에게 이익이 됩니다. 시장은 체계적으로 이러한 긍정적 외부효과를 과소평가하며, 이는 감사 공급의 균형점이 사회적 최적 수준보다 낮음을 의미합니다. 보조금은 전형적인 경제학적 개입 방식입니다. 재단은 자선 사업을 하는 것이 아니라, 매 분기 이더리움 사용자들에게 피해를 주는 시장 실패를 바로잡고 있는 것입니다.

해결되지 않는 과제와 다음 단계​

이 프로그램의 한계에 대해서도 솔직해질 필요가 있습니다. 100만 달러는 아마도 20개 정도의 중형 감사를 감당할 수 있는 수준입니다. 2026년 1분기에만 60건 이상의 사고로 인해 DeFi에서 4억 5천만 달러 이상의 손실이 발생했습니다. 2억 8,600만 달러 규모의 Drift 익스플로잇, 2,500만 달러 규모의 Resolv AWS-KMS 침해, 그리고 KelpDAO에서 발생한 LayerZero 관련 일련의 문제들은 이제 단순한 스마트 컨트랙트 버그보다 관리자 키, 클라우드 자격 증명, 공급망 침해와 같은 인프라 공격이 주를 이루고 있음을 상기시켜 줍니다.

감사는 도움이 되지만, 위에서 언급한 네 가지 손실 경로 중 단 하나도 직접적으로 해결하지 못합니다.

'1조 달러 보안 (Trillion Dollar Security)' 이니셔티브가 수행하는 역할 — 그리고 이것이 더 깊은 시사점입니다 — 은 제도적 질문을 "이더리움의 코드가 안전한가?"에서 "이더리움의 운영 태세 (operating posture)가 1조 달러 규모에서 안전한가?"로 재설정하는 것입니다. 두 번째 질문은 클라이언트 다양성, 모니터링 SLA, 사고 대응 조율, 사회적 계층 방어, 그리고 헤드라인을 장식하지는 않지만 지루한 엔지니어링 문화 작업을 포함합니다. 대시보드, SEAL 파트너십, 감사 풀은 이더리움이 진정으로 1조 달러 이상의 인프라로 운영되기 위해 필요한 다년간의 수억 달러 규모 프로그램의 첫 세 가지 항목입니다.

재단은 지원 규모를 계속 확대할 의향이 있음을 시사했습니다. Devconnect의 "Trillion Dollar Security Day"는 이제 연례 행사로 자리 잡았습니다. 2026년 프로토콜 우선순위 업데이트 (Protocol Priorities Update for 2026)에서는 이전 로드맵을 정의했던 모호한 "탈중앙화 우선" 프레임을 대신하여 L1 보안을 확장성 및 UX와 함께 3대 핵심 목표로 설정했습니다.

개발자와 인프라 제공업체에게 시사하는 바는 명확합니다. 보안 투자는 더 이상 선택적인 과시가 아닙니다. 이는 이더리움이 구조적으로 승리하고 있는 시장의 기관 부문에서 운영하기 위한 필수 비용입니다. BlockEden.xyz는 이더리움 및 15개 이상의 기타 체인에서 프로덕션급 RPC 및 인덱싱 인프라를 제공하며, 기관급 빌더들이 요구하는 가동 시간과 보안 기대치에 맞춰 설계되었습니다. API 마켓플레이스를 탐색하여 1조 달러 시대를 위해 설계된 기반 위에서 구축을 시작하세요.

출처​

• Trillion Dollar Security Project — Security Challenges Overview
• Trillion Dollar Security Dashboard
• Ethereum Foundation Blog — Trillion Dollar Security Day at Devconnect
• Ethereum Foundation Blog — Protocol Priorities Update for 2026
• Ethereum Foundation unveils $1M audit subsidy program — CoinDesk
• Ethereum Foundation backs $1M audit subsidy program — Crypto Briefing
• Ethereum Foundation launches 'One Trillion Dollar Security Dashboard' — Cryptopolitan
• Ethereum Foundation Partners with SEAL to Stop Wallet Drainer Attacks — CoinCentral
• Ethereum's tokenized RWA market jumps more than 300% YoY — The Block
• BlackRock Tokenizes $2.2B Corporate Bond Portfolio on Ethereum Mainnet — CoinReporter
• Client Diversity — clientdiversity.org
• Ethereum's Client Diversity: A Systemic Risk and Opportunity — AInvest

이더리움은 2026년 1월 7일 1:01:11 UTC에 지난 몇 년간 가장 중대한 확장성 업그레이드 중 하나를 조용히 배포했습니다. Devcon 무대도, 카운트다운 시계도, 가격 펌핑도 없었습니다. 두 번째 "블롭 파라미터 전용 (Blob Parameter Only)" 하드포크인 BPO2는 블록당 블롭 목표치를 10개에서 14개로, 최대치를 15개에서 21개로 늘려, 단 한 번의 조율된 클라이언트 릴리스만으로 롤업 데이터 용량을 40% 확장했습니다. 기술적인 모든 측면에서 이는 성공적이었습니다.

하지만 이는 아무도 충분히 크게 목소리 높여 말하지 않는 문제를 만들어냈습니다. 현재 이더리움은 L2들이 어떻게 처리해야 할지 모를 정도로 너무 많은 블롭 공간을 보유하고 있습니다. 블롭 점유율은 새로운 상한선의 20-30% 수준에 머물러 있습니다. 블롭 수수료는 바닥까지 떨어졌습니다. ETH 발행량은 다시 소각량을 앞지르기 시작했습니다. 그리고 로드맵의 다음 두 업그레이드 — 2026년 상반기의 Glamsterdam과 연중 목표로 하는 또 다른 BPO (48개 블롭 타겟) — 는 이미 공급된 물량조차 흡수하지 못한 시장에 더 많은 용량을 쏟아부을 예정입니다.

이것은 이더리움의 롤업 중심 가설이 직면한 난처한 중간 단계입니다. 엔지니어링은 제때 구현되고 있고, 사용자 수수료는 예정대로 하락하고 있지만, 토큰의 "울트라 사운드 머니 (ultrasound money)" 서사는 그 신뢰성을 만들어주었던 바로 그 메커니즘에 의해 조용히 균열이 가고 있습니다.

지난주 한 마켓 메이커가 자산 운용사가 되었지만 , 거의 아무도 눈치채지 못했습니다 .

2026 년 4 월 22 일 , OTC 데스크와 암호화된 이더리움상의 획기적인 기밀 거래로 가장 잘 알려진 13 년 역사의 기관 유동성 업체 GSR 은 나스닥에 GSR Crypto Core3 ETF 를 티커 BESO 로 상장했습니다 . 이 펀드는 비트코인 , 이더리움 , 솔라나를 액티브하게 관리되는 비율로 보유하며 , 독자적인 연구 시그널에 따라 매주 리밸런싱을 수행하고 , 결정적으로 이더리움 ( ETH ) 과 솔라나 ( SOL ) 슬리브에서 발생하는 스테이킹 수익을 챙깁니다 . 이는 스테이킹이 허용된 최초의 미국 상장 멀티 자산 크립토 ETF 입니다 .

이 마지막 문장은 많은 의미를 담고 있습니다 . 지난 2 년 동안 모든 현물 ETF 승인을 둘러싼 핵심 질문은 SEC 가 발행사가 생산적인 자산과 불활성 디지털 금을 구분 짓는 온체인 수익을 창출하도록 허용할 것인지 여부였습니다 . 그 대답은 마침내 ' 예 ' 가 되었습니다 . 그리고 그 첫 번째 수혜를 입은 회사는 블랙록 ( BlackRock ) 도 , 피델리티 ( Fidelity ) 도 , 비트와이즈 ( Bitwise ) 도 아닙니다 . 지난주까지 단 1 달러의 공모 펀드 운용 자산 ( AUM ) 도 운영하지 않았던 마켓 메이커입니다 .

100억 달러 이상의 토큰화된 실물 자산 (RWA) 을 보호하고 모든 스테이블코인 거래량의 95% 를 처리하는 네트워크임에도 불구하고, 이더리움은 포춘 500대 기업의 구매 부서와 연결되는 통화선이 이상하리만큼 조용합니다. 폴리곤 랩스 (Polygon Labs) 는 100명 이상의 기업 전담 팀을 고용하고 있습니다. 아바 랩스 (Ava Labs) 는 은행과 정부를 위해 전용 서브넷 컨설팅을 운영합니다. 헤데라 (Hedera) 는 말 그대로 보잉, 구글, IBM, 스탠다드 뱅크, 노무라에 거버넌스 카운슬 의석을 제공합니다. 블랙록 (BlackRock), 아폴로 (Apollo), JP모건 (JPMorgan), 도이치뱅크 (Deutsche Bank) 가 주력 토큰화 상품을 위해 실제로 선택한 체인인 이더리움은 — 최근까지 — 원칙적으로 전화를 받는 것을 거부해 왔습니다.

그러한 거부는 실수가 아니었습니다. 그것은 프로토콜의 탈중앙화 정신의 한 특징이었습니다. 즉, 어떤 단일 팀도 CFO에게 "이더리움"을 대변하도록 허용되어서는 안 된다는 것이었습니다. 의도하지 않은 결과는 기관 도입의 격차였으며, 이를 해소하기 위해 일렉트릭 캐피털 (Electric Capital) 과 패러다임 (Paradigm) 이 공동 주도한 시리즈 A에서 4,000만 달러를 유치한 뉴욕 스타트업 이더리얼라이즈 (Etherealize) 가 설립되었습니다. 비탈릭 부테린 (Vitalik Buterin) 과 이더리움 재단 (Ethereum Foundation) 이 직접 참여하면서, 이더리얼라이즈는 이 프로토콜이 역사상 처음으로 공식 승인한 기업 영업 부문에 가장 가까운 존재가 되었습니다. 8개월이 지난 지금, 이 실험은 이더리움 역사상 전략적으로 가장 중요한 비프로토콜 투자로 보입니다.

2026년 2월, 솔라나는 28일 동안 6,500억 달러의 스테이블코인을 이동시켰습니다. 이더리움은 약 5,510억 달러를 이동시켰습니다. 디지털 달러 역사상 처음으로, 지구상에서 가장 분주한 블록체인이 EVM을 실행하지 않았습니다.

Allium 데이터에서 발췌하고 Grayscale 리서치 팀이 배포한 이 수치는, 불과 4개월 전인 2025년 10월에 세워진 이전 월간 스테이블코인 기록의 두 배가 넘는 수치입니다. 이는 한 달 동안의 전체 크로스 체인 스테이블코인 거래량을 1.8조 달러로 끌어올렸습니다. 그리고 지난 2년 동안 업계가 미뤄왔던 질문을 던지게 만들었습니다. 스테이블코인이 거래 담보가 아닌 결제 상품처럼 작동할 때, 실제로 어디에 머물기를 원하는가 하는 것입니다.