"Liquid Restaking" 태그로 연결된 6 개 게시물 개의 게시물이 있습니다.

2026년 4월 18일 오전, 한 공격자가 아무런 근거 없이 116,500 rsETH를 조용히 발행했습니다. 48시간 후, Aave에서는 84억 5,000만 달러의 예치금이 사라졌고, 전체 DeFi TVL은 132억 1,000만 달러가 유출되었으며, 2억 9,200만 달러 규모의 브릿지 허점은 암호화폐 최대 대출 프로토콜인 Aave에서 2억 달러 규모의 부실 채권(bad-debt) 구멍으로 변했습니다. Aave는 공격자로부터 단 하나의 rsETH도 보유하고 있지 않았지만, 그럴 필요조차 없었습니다.

KelpDAO 사건은 "2026년 최대의 DeFi 해킹"으로 기록되고 있지만, 그러한 프레임은 실제로 일어난 일을 과소평가하는 것입니다. 익스플로잇(exploit)은 트리거에 불과했으며, 진짜 이야기는 그로 인한 연쇄 반응(cascade)이었습니다. 단 하나의 변조된 크로스체인 메시지가 긴밀하게 연결된 대출 그래프(lending graph)를 타고 파급되었고, 테라(Terra) 사태 이후 DeFi 내러티브가 조용히 무시해 온 아키텍처적 진실을 폭로했습니다. 즉, 블루칩 대출은 재귀적 인프라(reflexive infrastructure)이며, 하나의 담보 자산의 실패는 전체 그래프의 뱅크런(withdrawal run)으로 이어진다는 사실입니다.

브릿지: 1-of-1 검증자가 라자루스 그룹의 작전에 휘말리다​

이번 익스플로잇의 메커니즘은 올해 당신이 읽게 될 가장 명확한 중복성(redundancy)의 필요성에 대한 논거입니다. Kelp는 1-of-1 LayerZero 탈중앙화 검증자 네트워크(Decentralized Verifier Network) 구성에서 rsETH를 운영했습니다. 쉽게 말해, 브릿지가 토큰을 발행하거나 해제하기 전에 단 한 명의 검증자만이 크로스체인 메시지가 정당하다는 데 동의하면 되었습니다. 제2의 의견도, 쿼럼(정족수)도 없었습니다. 단일 신뢰 지점만 존재했으며, 정교한 국가 주도 해킹 조직이 이를 찾아냈습니다.

조사관들은 이번 공격의 배후로 북한의 라자루스 그룹(Lazarus Group)과 그 하부 조직인 트레이더트레이터(TraderTraitor)를 지목했습니다. 그들은 LayerZero의 자체 RPC 노드 중 두 개를 해킹하여 바이너리를 악성 버전으로 교체했습니다. 이 악성 바이너리는 선택적으로 거짓말을 하도록 설계되었습니다. 즉, 검증자에게는 허위 트랜잭션이 발생했다고 알리면서, 동일한 노드에 쿼리하는 다른 모든 시스템에는 정확한 데이터를 보고했습니다. 그 후, 그들은 검증자가 이중 체크용으로 사용하는 외부 RPC 노드에 DDoS 공격을 가했습니다. 외부 경로에 접속할 수 없게 되자, 검증자는 여전히 통신 가능한 유일한 노드, 즉 공격자가 장악한 두 개의 내부 노드로 페일오버(failover)했습니다.

결과적으로, 기초 자산인 ETH의 담보 없이 공격자 주소로 116,500 rsETH가 발행되었습니다. 이는 rsETH 유통량의 약 18%에 해당하며, 갑자기 담보가 사라진 이 자산들은 rsETH가 브릿징된 20개 이상의 체인으로 흩어졌습니다.

이후 이어진 책임 공방은 시사하는 바가 컸습니다. LayerZero는 프로토콜 취약점은 없었다고 주장했습니다. Kelp가 다중 검증자 설정을 권장하는 자체 통합 체크리스트를 무시했다는 것입니다. Kelp는 1-of-1 구성이 "LayerZero가 문서화한 기본 설정"을 따랐으며, 검증자 스택은 LayerZero의 자체 인프라였다고 반박했습니다. 두 주장 모두 사실일 수 있습니다. 그것이 핵심입니다. 프로덕션 급 시스템은 단 한 명의 방어자만 두지 않으며, "대부분의 경우 작동하는 기본 설정"은 2억 9,000만 달러와 국가 지원 적대 세력의 공격 앞에서 살아남을 수 없습니다.

연쇄 반응: rsETH가 더 이상 rsETH가 아니게 되었을 때​

담보가 없는 rsETH가 시장에 풀리자, 질문은 "Kelp가 해킹당했는가"에서 "어디에서 rsETH가 담보로 사용되고 있는가"로 바뀌었습니다. 답은 모든 곳이었습니다. Aave, SparkLend, Fluid, Morpho 등이 해당되었습니다. 리퀴드 리스테이킹 토큰(LRT)은 네이티브 ETH 수익률을 제공한다는 이유로 대출 스택 전체에서 화이트리스트에 올랐습니다. 위험 위원회와 파라미터 설정자들은 기초 토큰이 정상적인 조건에서 페깅(peg)을 유지할 것이라는 가정을 전제로 이 기능을 수용했습니다. 그 문장에서 "정상적인 조건"이라는 말이 생각보다 훨씬 큰 비중을 차지하고 있었다는 점은 아무도 인정하고 싶어 하지 않는 사실입니다.

가격 반응은 즉각적이었습니다. rsETH의 실제 담보 비율이 100%에서 약 82%로 추락하면서, rsETH를 담보로 대출을 실행한 모든 프로토콜은 자산 가치를 하락 조정해야 했습니다. 이는 자동 청산 로직을 트리거했습니다. 청산은 구매 수요가 없는 토큰에 대한 매도 압력을 강제했습니다. 가격 하락의 소용돌이는 스스로를 가중시켰습니다. 몇 시간 만에 Aave V3의 rsETH-wrapped-ETH 풀에는 약 1억 9,600만 달러의 부실 채권이 쌓였습니다. 이는 더 이상 존재하지 않는 담보로 보증된 대출들이었습니다.

하지만 실제 청산 손실은 작은 이야기에 불과했습니다. 진짜 큰 이야기는 뱅크런이었습니다.

뱅크런: 48시간 만에 Aave에서 84억 5,000만 달러가 빠져나가다​

DeFi 예치자들은 Aave 위험 위원회가 부실 채권을 어떻게 처리할지 기다려주지 않았습니다. 그들은 떠났습니다. CryptoQuant는 이를 2024년 이후 최악의 DeFi 유동성 위기라고 불렀습니다. 수치는 명확합니다.

• 84억 5,000만 달러의 예치금이 48시간 만에 Aave에서 빠져나감
• 같은 기간 동안 전체 DeFi TVL에서 132억 1,000만 달러가 증발함
• Aave TVL은 33% 급감하며 프로토콜 수준에서 66억 달러 이상이 사라짐
• 이용률이 100%에 달하면서 USDT 및 USDC 차입 이자율은 14%까지 치솟음
• 51억 달러 규모의 스테이블코인 예치금이 인출 제한에 직면함
• 재귀적 탈위험화(de-risking)가 다른 수익 창출 자산으로 확산되면서 USDe 공급량은 3일 만에 8억 달러가 줄어듦
• 4월 19일에서 20일 사이 Aave에서 발생한 3억 달러의 차입 급증은 사용자들이 이자율 상한선에 도달하기 전에 필사적으로 한도를 인출했음을 나타냄

이것이 바로 2022년 이후의 DeFi 내러티브가 마케팅으로 감추어 왔던 대출 기관의 재귀성 패턴입니다. Aave는 Kelp 토큰을 직접 보유하지 않았습니다. Aave 프로토콜은 익스플로잇되지 않았습니다. Aave의 스마트 컨트랙트는 설계된 대로 정확하게 작동했습니다. 하지만 그것은 중요하지 않았습니다. 시장은 전염 효과를 정확하게 가격에 반영했습니다. 만약 rsETH가 하룻밤 사이에 0이 될 수 있다면, Aave의 담보 목록에 있는 다른 모든 리퀴드 리스테이킹 토큰도 그렇게 될 수 있습니다. 담보 목록이 훼손되었다면 대출 시장도 훼손된 것입니다. 먼저 탈출하고, 질문은 나중에 하십시오.

구제 금융: "DeFi United"와 대마불사의 새로운 정치학​

그다음에 일어난 일은 아마도 해킹 자체보다 더 중요할 것입니다. 에이브(Aave)의 서비스 제공자들은 "DeFi United"라는 연합을 결성하여 단 하나의 목표를 세웠습니다. 바로 rsETH의 자본을 재확충하고, 전염병이 시스템에 또 다른 구멍을 내기 전에 에이브의 악성 부채를 해결하는 것이었습니다.

4월 26일까지 이 연합은 목표치인 약 2억 달러 중 약 1억 6,000만 달러를 모금했습니다. 4월 28일까지 펀드는 132,650 ETH (약 3억 300만 달러)로 성장했으며, 이는 rsETH의 담보 가치를 완전히 복구하기에 충분한 금액이었습니다. 가장 큰 기여자는 맨틀(Mantle)과 에이브 DAO(Aave DAO)였으며, 이들은 함께 55,000 ETH (약 1억 2,700만 달러)를 약정했습니다. 에이브의 설립자인 스태니 쿨레초프(Stani Kulechov)도 개인적으로 5,000 ETH를 기부했습니다.

이 상황이 시사하는 바는 놀랍습니다. 세계 최대의 디파이 대출 프로토콜이 제3자(LayerZero)의 해킹 이후, 개별 참가자가 통제할 수 없는 논리(담보로서의 유동성 리스테이킹)를 방어하기 위해 별도의 프로젝트에서 발행한 토큰에 대해 다중 프로토콜 구제 금융을 조율한 것입니다. 이 구제 금융은 에이브의 켈프(Kelp)에 대한 노출 때문이 아니라, 에이브 사용자들의 신뢰에 대한 노출 때문에 추진되었습니다. 만약 rsETH가 복구되지 않은 상태로 방치되었다면, 다음에 흔들릴 담보 자산은 나머지 대출 그래프 전체를 비워버렸을 것입니다.

이것이 바로 디파이에서의 대마불사(too-big-to-fail)의 모습입니다. 평소에는 TVL을 위해 경쟁하던 프로토콜들이 담보 간의 상관관계가 모두의 기반을 위협할 때는 서로 협력합니다. 캐슬 랩스(Castle Labs) 리서치 노트의 프레임워크는 날카롭습니다. 이 구제 금융은 에이브가 대마불사임을 증명했습니다. 왜냐하면 rsETH를 손상된 상태로 두는 대안은 디파이 전반에 걸쳐 모든 수익 발생형 담보 자산에 대한 시스템적 재평가를 강요했을 것이기 때문입니다. 커브(Curve) 설립자 마이클 에고로프(Michael Egorov)의 날 선 반대 제안 — 사회화된 구조 대신 시장 메커니즘을 통해 악성 부채를 정리하게 두라는 주장 — 은 철학적 긴장감을 잘 보여줍니다. 구제 금융은 도덕적 해이이기도 합니다.

역사적 거울: 알고리즘 없는 재귀성​

켈프에 대한 적절한 비교 대상은 2022-2023년의 브리지 해킹(Ronin, Wormhole, Nomad)이 아닙니다. 그 해킹들은 규모는 더 컸지만 구조적으로는 더 단순했습니다. 가치가 브리지를 떠나 돌아오지 않았을 뿐입니다. 켈프는 훨씬 더 흥미로운 사례였습니다. 상대적으로 억제된 2억 9,200만 달러 규모의 익스플로잇(exploit)이 발생했지만, 담보 그래프 자체가 취약점이었기 때문에 완벽하게 작동하는 프로토콜들을 통해 130억 달러 이상의 연쇄 인출을 유발했습니다.

적절한 비교 대상은 테라/UST입니다. rsETH가 알고리즘 방식이었기 때문이 아니라(이론적으로는 완전 담보형이었습니다), 실패 모드가 재귀적이었기 때문입니다. UST는 루나(LUNA)에서 가치를 끌어왔고, 루나는 UST의 태환성 약속에서 가치를 끌어왔습니다. 그 약속이 깨지자 루프가 붕괴되었습니다. 유동성 리스테이킹 토큰(LRT)은 기본적으로 스테이킹된 ETH와 프로토콜 수준의 상환 메커니즘이 유지될 것이라는 약속에서 가치를 창출합니다. 켈프의 브리지가 침해되었을 때 특정 LRT에 대한 약속이 깨졌고, 시장은 대출 그래프의 다른 모든 LRT에도 동일한 구조적 가정이 깔려 있다고 합리적으로 추측했습니다.

셀시어스(Celsius)는 두 번째 거울입니다. 셀시어스는 2022년 7월에 대출 자체가 잘못되어 무너진 것이 아니라, 담보(stETH)가 여러 프로토콜에서 재귀적으로 사용되었고 동일한 예치자 기반이 동시에 인출할 수 있었기 때문에 붕괴되었습니다. 에이브-켈프 사건은 동일한 역학 관계가 48시간으로 압축되어 셀시어스는 꿈도 꿀 수 없었던 규모로 전개된 것입니다. 결말을 바꾼 유일한 것은 구제 금융이었습니다. 이는 셀시어스에게는 없었던 사치였는데, 당시에는 이를 조직할 만큼 큰 주체가 없었기 때문입니다.

이것이 리스크 모델에 의미하는 바​

디파이 대출 리스크 모델은 지난 3년 동안 스테이블코인 디페깅, 거버넌스 토큰 변동성, 오라클 조작, 플래시 론 공격 등 고립된 담보 유형에 대해 더 똑똑해졌습니다. 하지만 켈프는 그들이 아직 해결하지 못한 카테고리를 드러냈습니다. 바로 수익 발생형 담보에서의 상관관계가 있는 브리지 리스크입니다.

에이브의 모든 유동성 리스테이킹 토큰은 한 가지 속성을 공유합니다. 크로스 체인 메시징 시스템이 계속 정직하게 운영되기 때문에 페깅이 유지된다는 점입니다. 이것이 rsETH, weETH, ezETH 및 나머지 자산들에 공유되는 단일 가설입니다. 하나의 브리지가 실패하면 시장은 단순히 그 자산의 가격만 재평가하는 것이 아니라 카테고리 전체를 재평가합니다. 왜냐하면 근본적인 가정은 자산 특정적인 것이 아니라 인프라 수준의 것이었기 때문입니다.

사후 분석에서 얻은 교훈은 명확합니다:

1. 다중 검증자 구성(Multi-verifier configurations)은 필수입니다. 1대1 신뢰 가정을 가진 모든 크로스 체인 브리지는 2억 9,200만 달러 규모의 익스플로잇이 일어나기를 기다리는 것과 같습니다. 독립적인 검증자들 간의 합의를 거치는 레이어제로(LayerZero)의 권장 다중 검증자 설정은 이 공격을 산술적으로 불가능하게 만들었을 것입니다. 중복 구성에 드는 비용은 이제 그것 없이 지내는 비용보다 확실히 저렴합니다.

2. 대출 프로토콜에는 상관관계 자산 스트레스 테스트가 필요합니다. LRT, LST 및 기타 수익 발생형 토큰에 대한 화이트리스트 결정은 가격 변동성과 TVL뿐만 아니라 공유된 인프라 의존성을 고려해야 합니다.

3. 브리지 공격은 더 이상 "브리지 문제"가 아닙니다. 브리지가 보호하는 자산이 하류의 모든 시스템에 깊이 내포되어 있기 때문에, 이는 대출 시장의 문제이자 스테이블코인 유동성 문제이며 DEX 실행의 문제입니다.

4. 기능으로서의 DDoS(DDoS-as-a-feature). 라자루스 그룹(Lazarus Group)의 공격은 DDoS, RPC 침해, 바이너리 교체를 하나의 조율된 작전으로 엮어냈습니다. 방어자는 고립된 구성 요소의 실패가 아니라, 조율된 다중 벡터 공격을 모델링해야 합니다.

인프라 측면의 시사점​

이 스택 아래에서 RPC 제공자, 인덱서, 브릿지 운영자 등 인프라를 운영하는 빌더들에게 Kelp 사건은 일종의 강제 함수(forcing function) 역할을 합니다. 시장은 이제 운영상의 중복성(redundancy)과 검증인 다양성을 사후 고려 사항이 아닌 핵심 기능으로 공개적으로 가격에 반영하고 있습니다. 부하 상황(stress events) 중 RPC 노드 가용성은 하룻밤 사이에 신뢰도 지표가 되었습니다. 이러한 일련의 사태를 우아하게 처리한 체인들 — 트랜잭션이 여전히 확정되고, 오라클이 동기화 상태를 유지하며, 대출 시장이 계속 청산된 체인들 — 은 향후 18개월 동안 기관의 통합 선택에 반영될 평판의 복리 효과를 얻었습니다.

BlockEden.xyz는 25개 이상의 블록체인에서 엔터프라이즈급 RPC 및 인덱싱 인프라를 운영하며, 이러한 부하 상황에서 막대한 자금이 걸린 DeFi 프로토콜들이 의존하는 중복성 및 가동 시간 아키텍처를 제공합니다. 연쇄적인 사태가 닥칠 때, 끝까지 살아남는 프로토콜은 데이터 레이어가 단 한 순간도 흔들리지 않은 프로토콜들입니다.

향후 전망​

Aave는 부실 채권 변제를 마무리할 것이고, 거버넌스 투표는 통과될 것이며, rsETH는 결국 복구된 담보 가치에 맞춰 가격이 재조정될 것입니다. 하지만 Kelp 이후의 시장은 이전의 시장과는 다를 것입니다. 이제 세 가지가 변했습니다:

• LRT 담보에 대한 리스크 프리미엄이 상승합니다. 담보 인정 비율(LTV)은 더욱 엄격해질 것입니다. 일부 소규모 LRT는 담보 자격을 완전히 상실할 것입니다. 일반적인 stETH 대신 LRT를 보유하는 것을 정당화했던 수익률 차이는 방금 재보정되었습니다.
• 브릿지 아키텍처 실사가 공개적인 의례가 됩니다. "이 토큰은 1-of-1 검증인을 사용하는가?"는 이제 DeFi 프로토콜이 래핑되거나 브릿징된 자산을 화이트리스트에 추가하기 전에 반드시 물어야 할 합리적인 질문이 되었습니다.
• DeFi의 '대마불사(Too-Big-to-Fail)' 플레이북이 이제 체계화되었습니다. Aave는 상관관계가 기저 레이어를 위협할 때 프로토콜들이 신속하게 구제금융을 조율할 수 있음을 증명했습니다. 이 능력은 다시 테스트받게 될 것이며, 다음 테스트는 이것이 확장 가능한지 여부를 밝혀낼 것입니다.

"블루칩의 안전성"이라는 논제는 Kelp 사건으로 사장되지 않았습니다. 다만 그것이 실제로 무엇을 의미하는지 인정할 수밖에 없게 되었습니다. DeFi에서 블루칩이란 단일 프로토콜의 건전성이 아니라 전체 담보 그래프가 함께 유지되는 기능의 결과물입니다. 그래프가 흔들리면 칩들도 함께 흔들립니다. 유일한 진정한 안전은 중복성이 있고 상관관계가 낮으며 느리게 변화하는 담보 세트 — 그리고 사태가 발생하고 48시간이 지난 후가 아니라 연쇄 반응이 시작되기 전에 이를 방어하는 규율입니다.

출처:

• $2억 9,200만 달러 규모의 Kelp 암호화폐 익스플로잇: 발생 경위와 DeFi에 미치는 의미 (CoinDesk)
• Kelp DAO, 20개 체인에 래핑된 이더가 묶인 채 2억 9,200만 달러 익스플로잇 발생 (CoinDesk)
• 이틀 만에 130억 달러 규모의 DeFi 자산 증발, KelpDAO 공격에서 시작 (CoinDesk)
• Aave, Kelp 해킹으로 DeFi 대출 서비스의 구조적 리스크 노출되며 TVL 60억 달러 감소 기록 (CoinDesk)
• Kelp DAO 해킹으로 AAVE에서 100억 달러 출금 촉발 (Crypto Briefing)
• Cryptoquant: KelpDAO 해킹 '전염'으로 2024년 이후 최악의 DeFi 유동성 위기 발생 (Bitcoin.com)
• 단일 LayerZero DVN 침해로 KelpDAO에서 2억 9,200만 달러가 유출된 경위 (Blockaid)
• KelpDAO 브릿지 익스플로잇 분석 (Chainalysis)
• LayerZero, 2억 9,000만 달러 익스플로잇의 원인으로 Kelp의 설정을 지목하며 북한 라자루스 그룹의 소행으로 추정 (CoinDesk)
• Aave, Kelp DAO 익스플로잇으로 발생한 부실 채권 변제에 필요한 2억 달러 중 약 80% 확보 (CoinDesk)
• Aave, rsETH 담보 복구를 위해 DeFi 연합 주도 (CryptoNewsZ)
• Curve 창립자, Aave의 구제금융과 대조되는 시장 기반의 해결책 제시 (CoinDesk)
• Aave가 대마불사임을 보여준 DeFi 구제금융 (Castle Labs)
• 2026년 DeFi 전염 리스크: Kelp DAO–Aave 위기 분석 (FinanceFeeds)
• rsETH 사고 보고서 (Aave Governance)
• 리퀴드 리스테이킹의 400% 급증은 DeFi 썸머의 예고인가 — 테라처럼 붕괴하지 않는다면 (DL News)

2026년 4월 18일 KelpDAO에서 1달러를 도난당할 때마다, 48시간 이내에 45달러 이상의 자금이 DeFi에서 빠져나갔습니다. 2억 9,200만 달러라는 헤드라인 수치가 아니라 바로 이 비율이 일주일 후 은행 리스크 관리 책임자들의 책상에 올랐고, Jefferies 애널리스트들은 이를 근거로 대형 은행들이 이제 2026~2027년 블록체인 로드맵 전체를 다시 그려야 할 수도 있다고 주장했습니다.

4월 21일 발표된 Jefferies의 보고서는 토큰화의 종말을 예고하지 않았습니다. 대신 더 미묘하고 어쩌면 더 치명적인 것, 즉 기관 전체의 '조용한 일시 정지(pause)'를 예측했습니다. 어떤 DeFi 프로토콜이 실제로 수조 달러 규모의 실물 자산(RWA) 상품을 위한 담보 인프라 역할을 수행할 수 있는지에 대한 재평가입니다. 감사가 증명할 수 있는 것과 프로토콜이 업그레이드를 거듭한 후 실제로 수행하는 것 사이의 간극에 대한 심판입니다. 그리고 어쩌면 BNY 멜론(BNY Mellon), 스테이트 스트리트(State Street), 골드만삭스(Goldman Sachs), HSBC의 온체인 야망이 12개월에서 18개월가량 지연될 수 있음을 의미합니다.

이것은 단 하나의 브리지 취약점 공격, 단 하나의 설정 오류가 발생한 검증인, 그리고 45대 1의 전염 비율이 어떻게 기관의 일정을 재설정했는지에 대한 이야기입니다.

2억 9,200만 달러 유출의 해부​

엄밀히 말해 KelpDAO 사건은 스마트 컨트랙트 해킹이 아니었습니다. 이는 대부분의 사람들이 존재하는지조차 몰랐던 단일 장애점(Single Point of Failure)을 악용한 오프체인 인프라 침해였습니다.

KelpDAO의 rsETH 브리지는 단 하나의 검증인, 즉 LayerZero Labs의 DVN(탈중앙화 검증인 네트워크)으로 구성되어 있었습니다. 하나의 검증인, 하나의 서명, 하나의 병목 지점이었던 것입니다. 이후 LayerZero가 북한의 라자루스 그룹(Lazarus Group)의 소행으로 돌린 공격자들은 검증인이 크로스체인 메시지를 확인하기 위해 의존하는 RPC 노드 중 두 개를 침해한 것으로 알려졌습니다. 해당 노드에 설치된 악성 바이너리는 검증인에게 사기 거래가 실제라고 알렸습니다. 약 2억 9,200만 달러에 달하는 116,500 rsETH가 20개 체인에 걸쳐 브리지를 빠져나갔습니다.

KelpDAO와 LayerZero는 즉시 서로를 비난했습니다. Kelp는 LayerZero의 자체 퀵스타트 가이드와 기본 GitHub 설정이 1-of-1 DVN 설정을 가리키고 있었으며, LayerZero 프로토콜 상의 40%가 동일한 설정을 사용하고 있다고 지적했습니다. LayerZero는 Kelp가 두 번째 DVN을 추가하지 않기로 선택했다고 반박했습니다. 두 주장 모두 사실이지만, 사후 분석 보고서를 읽는 은행들에게는 본질에서 벗어난 이야기입니다. 기관의 수탁 부서가 얻은 교훈은 더 간단했습니다. 문서에서 가장 안전해 보였던 설정이 실제로는 안전하지 않았다는 것입니다.

KelpDAO는 컨트랙트를 일시 정지하여 추가적인 9,500만 달러 도난 시도를 차단하는 데 성공했고, 아비트럼 보안 위원회(Arbitrum Security Council)는 하류에 있던 30,000 ETH 이상을 동결했습니다. 하지만 진짜 피해는 이미 스택의 한 단계 위로 이동한 상태였습니다.

45:1 전염의 연쇄 반응​

브리지 자금 유출이 발생한 지 몇 시간 만에 공격자들은 훔친 rsETH를 Aave V3에 담보로 예치하기 시작했습니다. 그들은 이를 담보로 대출을 받았고, 이로 인해 Aave에는 이더리움상의 rsETH-래핑된 이더(WETH) 페어에서 약 1억 9,600만 달러의 집중된 악성 부채가 남게 되었습니다.

다음에 일어난 일은 대규모의 재귀적 반응이었습니다. Aave의 TVL(총 예치 자산)은 48시간 만에 약 66억 달러 감소했습니다. DeFi 전체적으로 TVL은 약 140억 달러 감소하여 약 850억 달러로 떨어졌는데, 이는 1년 만에 최저치이자 10월 정점 대비 약 50% 낮은 수준이었습니다. 이러한 이탈의 상당 부분은 실제 자본의 파괴라기보다는 레버리지 포지션의 청산이었지만, 메시지는 명확했습니다. 2억 9,200만 달러의 도난이 132억 1,000만 달러의 TVL 유출을 초래했다는 것입니다. 바로 45대 1의 전염 비율입니다.

토큰화된 머니마켓펀드(MMF)를 위한 담보 인프라로서 Aave를 평가하는 수탁 부서 입장에서 이 수치는 무시할 수 없는 것입니다. "블루칩의 안전성"이라는 논제는 유동성의 깊이가 충격을 흡수한다는 가정을 전제로 합니다. 하지만 2026년 4월의 연쇄 반응은 충격이 가해지는 순간 그 유동성이 순식간에 사라지는 것을 보여주었습니다.

상황은 더 악화되었습니다. Aave의 엄브렐러 리저브(Umbrella reserve)가 적자를 메우기에 부족한 것으로 알려지면서 stkAAVE 보유자들이 직접 손실을 감당해야 할 가능성이 제기되었습니다. 이후 프로토콜은 구멍을 메우기 위해 1억 6,100만 달러의 신규 자금을 조달했습니다. 전통 금융(TradFi) 관찰자들에게 해킹, 악성 부채, 예비비 부족, 긴급 자금 조달로 이어지는 일련의 과정은 마치 단계가 추가된 뱅크런(Bank run)처럼 불편하게 다가왔습니다.

Jefferies가 실제로 주목하는 패턴​

Jefferies의 애널리스트 앤드류 모스(Andrew Moss)가 이 보고서를 쓴 이유는 단순히 하나의 브리지 사건 때문이 아닙니다. 3주 동안 발생한 세 건의 사건 때문이었습니다.

• 2026년 3월 22일 — Resolv: 공격자가 Resolv의 AWS 키 관리 서비스(KMS) 환경을 침해하고 프로토콜의 권한 있는 서명 키를 사용하여 8,000만 USR 토큰을 민팅하여 약 2,500만 달러를 탈취하고 스테이블코인의 페깅을 깨뜨렸습니다.
• 2026년 4월 1일 — Drift: 공격자들이 수개월 동안 Drift 팀을 대상으로 사회공학적 공격을 가했고, 솔라나의 "듀러블 논스(durable nonces)" 기능을 악용하여 보안 위원회 멤버들이 모르는 사이에 트랜잭션에 사전 서명하도록 유도했습니다. 결국 가치 없는 가짜 토큰(CVT)을 담보로 화이트리스트에 등록하고 2억 8,500만 달러의 실제 자산을 유출했습니다.
• 2026년 4월 18일 — KelpDAO: 1-of-1 검증인 설정 하의 RPC 노드 침해로 2억 9,200만 달러 유출.

세 가지 서로 다른 프로토콜, 서로 다른 체인, 서로 다른 공격 표면이었지만 공통된 테마가 하나 있었습니다. 이러한 실패 중 어느 것도 감사자가 검토한 온체인 코드에서 발생하지 않았다는 점입니다. 실패는 클라우드 인프라, 오프체인 거버넌스 프로세스, 업그레이드 절차, 그리고 감사 범위 바로 밖에 있었던 기본 설정에서 발생했습니다.

Jefferies는 이를 2026년을 규정하는 공격 유형인 업그레이드로 인해 도입된 취약점으로 정의했습니다. 모든 일상적인 프로토콜 업그레이드는 이전 코드를 기준으로 이전 감사가 검증했던 신뢰 가정을 조용히 변경합니다. "이것은 50억 달러의 연기금 자산을 담보로 보유하기에 충분히 안전하다"라는 메모를 작성해야 하는 기관의 리스크 관리자들에게 이는 해당 분야의 도입 자체를 무산시킬 수 있는 깨달음입니다. 그들이 2년 동안 조용히 구축해 온 감사 기반의 리스크 프레임워크가 엉뚱한 것을 측정하고 있었다는 통보를 받은 셈이기 때문입니다.

이 현상이 월스트리트 일정에 영향을 미치는 이유​

제프리스 (Jefferies) 의 논지는 토큰화가 실패한다는 것이 아닙니다. DeFi 결합성 (composability) 에 의존하는 토큰화의 핵심 요소들이 뒤로 밀려나게 된다는 것입니다.

그 이유를 이해하려면 2026 년 4 월 17 일 당시의 기관 로드맵을 살펴볼 필요가 있습니다 :

• ** 블랙록 (BlackRock) BUIDL ** 은 약 19 억 달러 규모로 성장하여 이더리움 (Ethereum), 아비트럼 (Arbitrum), 앱토스 (Aptos), 아발란체 (Avalanche), 옵티미즘 (Optimism), 폴리곤 (Polygon), 솔라나 (Solana), BNB 체인 (BNB Chain) 에 배포되었습니다. 이는 이미 바이낸스 (Binance) 에서 담보로 승인된 상태였습니다.
• ** 프랭클린 템플턴 (Franklin Templeton) BENJI ** 는 FOBXX 를 기초 자산으로 하여 온체인 미국 국채 노출도를 계속해서 확장했습니다.
• ** 아폴로 (Apollo) ACRED ** 는 플룸 (Plume) 에 배포되었으며 모포 (Morpho) 에서 담보로 활성화되었습니다. 이는 기관의 신용을 온체인에서 빌릴 수 있다는 명시적인 베팅이었습니다.
• 토큰화된 미국 국채 규모는 2026 년 1 월 89 억 달러에서 3 월까지 110 억 달러 이상으로 성장했습니다. 토큰화된 사모 신용 (private credit) 은 120 억 달러를 넘어섰습니다. 퍼블릭 체인의 전체 RWA 시장은 2,096 억 달러를 돌파했으며, 그 중 61% 가 이더리움 메인넷에 집중되었습니다.

중요한 세부 사항은 이렇습니다. BUIDL 이나 ACRED 를 대출 담보로 사용하거나, 토큰화된 국채 위에 수익 창출형 구조화 상품을 구축하거나, 토큰화된 머니 마켓 펀드를 프라임 브로커리지에 통합하는 등 기관 로드맵의 거의 모든 * 흥미로운 * 항목들은 RWA 토큰 그 자체 이상의 무언가에 의존합니다. 바로 그 아래에서 작동하는 DeFi 레이어입니다.

2026 년 4 월, 그 레이어는 재귀성 (reflexivity) 을 여실히 보여주었습니다. 만약 다른 프로토콜에서 2 억 9,200 만 달러 규모의 익스플로잇 (exploit) 이 발생한 후 48 시간 만에 에이브 (Aave) 에서 100 억 달러의 예치금이 빠져나갈 수 있다면, " 블루칩 DeFi " 는 방어벽이 아니라 전이 메커니즘 (transmission mechanism) 인 셈입니다. 그리고 이러한 전이 메커니즘 위에 구축된 기관 상품들은 6 개월에서 18 개월 정도의 독립적인 인프라 작업이 추가로 필요하거나, 허가형 전용 베뉴 (permissioned-only venues) 로 재설계되어야 합니다.

이것이 바로 제프리스가 가격에 반영하고 있는 지연 요인입니다.

반론 : DeFi 가 없는 토큰화​

제프리스의 메모가 기관에 미치는 영향을 과장하고 있다는 실질적인 주장도 존재합니다. 온체인 RWA 2,096 억 달러 중 대부분은 DeFi 프로토콜 내부가 아닌 이더리움 메인넷에 존재합니다. 블랙록 BUIDL 보유자들은 대부분 기관 투자자들이며, 이들은 처음부터 에이브에서 레버리지를 일으킬 의도가 없었습니다. JP 모건 (JPMorgan) 의 오닉스 (Onyx) 네트워크와 골드만삭스 (Goldman) 의 토큰화 자산 데스크는 주로 허가형 베뉴에서 운영됩니다. " DeFi 결합성 " 이야기는 항상 크립토 네이티브 논평가들이 가정하는 것보다 기관 도입에서 차지하는 비중이 작았습니다.

이러한 프레임을 받아들인다면, 제프리스의 메모는 전환점이라기보다는 일종의 면죄부가 됩니다. DeFi 결합성에 미온적이었던 월스트리트 리스크 위원회는 이 메모를 활용하여 어차피 조용히 진행하려 했던 지연을 공식화합니다. 토큰화 자체는 계속됩니다. 파일럿 프로그램도 이어집니다. 조 단위의 헤드라인 수치는 크게 변하지 않습니다.

솔직한 답은 아마도 두 가지가 동시에 일어나는 것일 겁니다. 토큰화는 계속되지만, 온체인 자산이 결합 가능한 담보가 되고, 무허가형 레일 위에 구조화 상품이 구축되며, 프로그래밍 가능한 돈의 효율성 이득이 실제로 나타나는 토큰화의 * 흥미로운 * 부분은 뒤로 밀려나게 됩니다.

기관들이 실제로 변화시킬 것들​

제프리스의 메모와 주요 수탁 데스크 (custody desks) 에서 나오는 공개 성명들의 행간을 읽어보면, 향후 6 개월 동안 세 가지 구체적인 변화가 나타날 것으로 보입니다.

** 첫째, 감사 범위가 스마트 컨트랙트를 넘어 확장됩니다. ** 드리프트 (Drift) 익스플로잇 이후 한 전문가가 언급했듯이, " 코드뿐만 아니라 어드민 키를 감사해야 " 합니다. 기관의 실사 (due diligence) 과정에서 클라우드 보안 감사, 키 관리 절차 검토, 거버넌스 공격 벡터 분석, 그리고 모든 프로토콜 업그레이드 이후의 지속적인 재증명을 요구하기 시작할 것으로 예상됩니다. 코드 감사라는 가내수공업 형태의 산업은 운영 감사라는 형제 산업을 탄생시킬 것입니다.

** 둘째, 허가형 베뉴 (permissioned venues) 가 가속화됩니다. ** 에이브나 모포를 담보 인프라로 사용하려던 은행들은 조용히 엔지니어링 방향을 프라이빗 배포로 돌립니다. 이는 기관 전용 포크, 화이트리스트 기반 대출 시장, 또는 동일한 프리미티브 (primitives) 위에 구축되지만 알려진 거래 상대방이 존재하는 양자 간 레포 (repo) 계약 등을 의미합니다. 이는 통제력을 위해 효율성을 포기하는 선택이며, 기관의 리스크 책임자들이 기꺼이 받아들이는 절충안입니다.

** 셋째, 단일 검증인 (single-verifier) 구성은 출시가 불가능해집니다. ** 레이어제로 (LayerZero) 프로토콜의 40% 가 1-of-1 DVN 설정을 실행하고 있었고, 기본 설정이 이를 권장했다는 사실은 업계 전반의 공동 압력을 만들어낼 것입니다. 이제 다중 검증인 요구 사항이 기본 원칙이 될 것입니다. 합리적인 기본 설정인 2-of-3 또는 3-of-5 검증인 설정을 갖춘 브릿지들은 단일 검증인 브릿지가 보험을 들 수 없어 받지 못하는 기관의 자금 흐름을 물려받게 될 것입니다.

역사적 유사 사례​

제프리스는 2026 년 4 월을 2022 년의 테라 (Terra)/UST 붕괴 및 FTX 파산 사태와 비교하며, 정도는 덜하지만 유사하게 속도를 조절하는 이벤트로 규정했습니다. 테라는 DeFi 와 전통 금융 (TradFi) 의 통합 일정을 약 24 개월 지연시켰습니다. FTX 는 기관 수탁 일정을 약 18 개월 늦췄습니다. 브릿지 익스플로잇, 대출 기관 전염, 감사 프레임워크 붕괴로 이어지는 켈프 DAO (KelpDAO) 일련의 사건들은 토큰화 전반이 아닌, 특히 * 기관 인프라로서의 결합 가능한 DeFi * 라는 논제에 대해 12 개월에서 18 개월 정도의 속도 조절 이벤트로 보입니다.

이는 의미 있는 차이입니다. 2027 년 RWA 에 대한 강세 시나리오는 여전히 유효하다는 뜻입니다. BUIDL 은 계속 성장할 것입니다. 스테이블코인 결제량도 계속 늘어날 것입니다. 하지만 DeFi 프로토콜이 수조 달러 규모의 기관 금융에서 신뢰를 최소화한 중추가 되는 2026 년의 버전은 이제 빨라야 2027 년이나 2028 년이 될 것임을 의미합니다.

진정한 교훈​

가장 뼈아픈 교훈은 DeFi 가 단순히 안전하지 않아서 140억 달러를 잃은 것이 아니라는 점입니다. DeFi 가 140억 달러를 잃은 이유는 보안의 진정한 의미에 대해 불투명했기 때문입니다. 스마트 컨트랙트 감사는 실질적이며 가치가 있습니다. 하지만 이는 실제 공격 표면 (attack surface) 의 극히 일부에 불과합니다. 프로토콜이 빈번하게 업그레이드되고, 클라우드 인프라에 의존하며, 권한이 집중된 서명 키를 보유하고, 검증인 다양성보다 개발자의 편의성을 우선시하는 기본 설정을 배포하는 한, 감사는 단지 한 시점의 상태를 검증할 뿐 실제 위험은 다른 곳에 존재하게 됩니다.

빌더들에게 이것은 기회입니다. 2026년 기관들의 도입 일시 중단 사태에서 살아남는 프로토콜은 더 어려운 문제, 즉 일회성 감사와 희망에 의존하는 대신 운영 무결성에 대한 지속적이고 검증 가능한 증거를 생성할 수 있는 프로젝트가 될 것입니다. 기관들에게 그 길은 더 좁지만 명확합니다. DeFi 결합성 (composability) 에 12 ~ 18개월의 지연이 있다고 가정하고, 그동안 허가형 토큰화 (permissioned tokenization) 를 구축하십시오. 그 외 모든 이들에게: 프로토콜이 제공하는 유일한 신뢰 신호로 '감사 완료' 라는 문구를 보게 된다면, 감사인이 살펴보지 않은 것이 무엇인지 질문하십시오.

단일 해킹 사건보다 이 질문 자체가 2027년 기관급 크립토 스택을 형성하는 핵심이 될 것입니다.

• BlockEden.xyz 는 Sui , Aptos , Ethereum , Solana 및 25개 이상의 체인에 배포하는 빌더와 기관을 위해 엔터프라이즈급 RPC 및 인덱서 인프라를 제공합니다. 2026년의 해킹 사례들이 검증인 다양성과 운영 무결성의 중요성을 강조함에 따라, 기관의 위험 관리 수준을 고려하여 설계된 인프라 위에서 개발을 시작하려면 저희 API 마켓플레이스를 살펴보십시오 .*

출처​

• Kelp DAO 익스플로잇으로 인해 대형 은행들이 블록체인 계획을 재고할 수 있다고 Jefferies 가 경고함 — CoinDesk
• Kelp DAO 브릿지 익스플로잇 내부 분석 — Chainalysis
• Kelp DAO , LayerZero 의 기본 설정이 재앙을 초래했다고 주장 — CoinDesk
• LayerZero , 2억 9,200만 달러 규모의 Kelp DAO 브릿지 해킹 배후로 북한 라자루스 그룹 지목 — Yahoo Finance
• Aave , Kelp 해킹으로 DeFi 대출 기관의 구조적 위험이 드러나며 TVL 60억 달러 급감 기록 — CoinDesk
• DeFi 에서 140억 달러가 유출되는 가운데 비트코인은 76,000달러 위로 반등 — CoinDesk
• 2026년 DeFi 전염 위험: Kelp DAO – Aave 위기 내부 분석 — FinanceFeeds
• Resolv 해킹: 유출된 키 하나가 어떻게 2,300만 달러를 생성했나 — Chainalysis
• Drift 프로토콜 해킹: 권한 있는 접근이 어떻게 2억 8,500만 달러의 손실로 이어졌나 — Chainalysis
• 2억 달러 규모의 Drift 익스플로잇 이후 전문가들은 코드뿐만 아니라 관리자 키도 감사해야 한다고 말함 — CoinDesk
• BlackRock 의 BUIDL , Binance 에서 담보로 인정되며 BNB Chain 에서 출시 — PR Newswire
• RWA 심층 분석: Apollo 의 ACRED — Substack
• 2026년 RWA 토큰화: 실물 자산이 온체인으로 이동하는 방법 — Blocklr

2026년 4월 18일, 북한의 라자루스 그룹(Lazarus Group)이 2억 9,200만 달러 상당의 rsETH를 탈취했을 때, 거의 모든 이들은 익숙한 시나리오를 예상했습니다. Kelp DAO가 손실을 떠안고, Aave 예치자들이 부실 채권을 감당하며, 2022년 Jump Crypto가 Wormhole을 위해 했던 것처럼 단일 억만장자 후원자가 조용히 수표를 써주는 방식 말입니다. 하지만 그런 일은 일어나지 않았습니다. 대신, 평소에는 치열하게 경쟁하던 디파이(DeFi)의 가장 큰 7개 프로토콜이 약 10만 ETH를 "DeFi United"라는 단일 복구 기금에 모았고, 암호화폐가 자체적인 재앙을 처리하는 규칙을 조용히 새로 썼습니다.

수치는 거대하고, 그 이면의 정치는 더욱 방대하며, 이번 선례는 업계가 수년 동안 만들어낸 가장 중요한 성과일지도 모릅니다.

2026년 4월의 첫 18일 동안, 공격자들은 12개 이상의 DeFi 프로토콜에서 $6억 600만 달러 이상을 탈취했습니다. 이는 3주도 채 되지 않는 기간 동안 2026년 1분기 전체 도난액의 3.7 배에 달하는 수치입니다. 2025년 2월$ 15억 달러 규모의 Bybit 해킹 이후 암호화폐 도난이 가장 심각했던 달이었으며, 특히 DeFi 분야에서는 2022년 브리지 익스플로잇 시대 이후 가장 큰 피해를 입은 시기였습니다.

하지만 2022년과는 달리, 이번 사건 중 스마트 컨트랙트 버그로 인해 발생한 것은 거의 없었습니다.

Kelp DAO 브리지 탈취 ($2억 9,200만 달러), Drift Protocol의 오라클 및 키 침해 ($ 2억 8,500만 달러), 그리고 3월 말 Resolv Labs의 AWS 탈취 ($ 2,500만 달러)는 조용하지만 더 곤혹스러운 공통점을 공유합니다. 이 사건들은 모두 프로토콜 팀이 자체적인 신뢰 가정 (기본 설정, 사전 서명된 거버넌스 마이그레이션, 단일 클라우드 키 등)을 변경함으로써 가능해졌으며, 이는 어떤 스마트 컨트랙트 감사자도 경고할 이유가 없는 사항들이었습니다. 2026년 4월은 Solidity에 대한 이야기가 아닙니다. 이는 코드, 인프라, 그리고 거버넌스 사이의 운영상의 틈새 (operational seams)에 대한 이야기이며, '업그레이드'가 새로운 공격 표면 (attack surface)이 되었을 때 어떤 일이 벌어지는지에 대한 이야기입니다.

1분기보다 심각했던 18일간의 기록​

4월이 얼마나 이례적이었는지 이해하려면 수치를 분석해 볼 필요가 있습니다.

CertiK은 2026년 1분기 총 손실액을 145건의 사건에 걸쳐 약 $5억 100만 달러로 집계했습니다. 이 역시 당시 11개월 만에 최악의 달이었던 1월의$ 3억 7,000만 달러 규모 피싱 파도에 의해 부풀려진 수치였습니다. 2026년 2월은 약 $2,650만 달러로 수그러들었습니다. 3월은 20건의 개별 사건을 통해$ 5,200만 달러로 다시 상승했으며, 이로 인해 PeckShield는 소규모 DeFi 플랫폼 전반에 걸쳐 반복적인 공격 패턴이 나타남에 따라 '그림자 전염 (shadow contagion)'을 경고했습니다.

그러다 2026년 4월 1일 — 만우절 — 당시 올해 최대 규모의 해킹이었던 Drift 익스플로잇으로 문을 열었습니다. 18일 후, Kelp DAO 탈취 사건이 이를 넘어섰습니다. 이 두 사건만 합쳐도 $5억 7,700만 달러를 초과합니다. 여기에 Resolv 여파, 진행 중인 인프라 침해, 그리고 PeckShield와 SlowMist 추적기에 누적된 12건의 소규모 DeFi 침해 사례를 더하면, 보름 남짓한 기간 동안$ 6억 600만 달러 이상의 손실액에 도달하게 됩니다.

참고로, Chainalysis는 2025년 전체 암호화폐 도난액을 총 $ 34억 달러로 보고했으며, 그 대부분은 Bybit 침해 사고에 집중되어 있었습니다. 2026년 4월의 속도가 유지된다면 연말이 되기 전에 그 기준점을 쉽게 넘어설 것입니다. 위협은 양적으로만 성장한 것이 아니라, 집중도와 공격자의 정교함 측면에서도 성장했습니다.

세 가지 해킹, 세 가지의 본질적으로 다른 실패 모드​

4월의 해킹 공세가 단지 암울한 것을 넘어 분석적으로 흥미로운 이유는, 세 가지 주요 사건이 세 가지 뚜렷한 공격 유형으로 명확하게 분류되기 때문입니다. 각 공격은 스택의 서로 다른 계층을 겨냥하며, 이는 전통적인 스마트 컨트랙트 감사자가 포착하도록 설계되지 않은 유형의 실패들입니다.

유형 1: 새로운 단일 장애점으로서의 브리지 구성 (Kelp DAO, $ 2억 9,200만 달러)​

4월 18일, 공격자는 Kelp DAO의 LayerZero 기반 브리지에서 약 $ 2억 9,200만 달러에 해당하는 116,500 rsETH를 탈취했습니다. CoinDesk와 LayerZero의 포렌식 팀이 재구성한 바에 따르면, 이 기법은 Solidity 버그를 악용한 것이 아니라 구성 (configuration) 선택을 악용했습니다.

Kelp의 브리지는 단일 검증인 (1-of-1 DVN) 설정으로 운영되었습니다. 공격자들은 해당 검증인을 지원하는 두 개의 RPC 노드를 침해하고, 조직적인 DDoS 공격을 사용하여 검증인이 페일오버 (장애 조치) 모드로 전환되도록 강제한 다음, 침해된 노드를 사용하여 허위 크로스체인 메시지가 도착했음을 인증했습니다. 브리지는 신호에 맞춰 rsETH를 방출했습니다. LayerZero는 이번 작전의 배후로 북한의 라자루스 그룹 (Lazarus Group)을 지목했습니다.

그 뒤를 이은 공개적인 책임 공방은 운영 계층이 얼마나 취약해졌는지를 잘 보여줍니다. LayerZero는 Kelp가 멀티 검증인 구성을 사용하도록 경고받았다고 주장했습니다. Kelp는 1-of-1 DVN 모델이 새로운 OFT 통합을 위한 LayerZero 자체 배포 문서의 기본 설정이었다고 반박했습니다. 두 입장 모두 기술적으로는 사실입니다. 더 중요한 점은 CertiK, OpenZeppelin, Trail of Bits와 같은 어떤 감사 법인도 "메시징 계층 DVN 구성이 브리징하려는 자산의 가치에 적합한가?"에 대한 검토를 상품화하여 제공하지 않는다는 것입니다. 이러한 논의는 결과물이 아닌 두 팀 간의 Slack 채널에서 이루어집니다.

유형 2: 잠재적 백도어로서의 사전 서명된 거버넌스 권한 부여 (Drift, $ 2억 8,500만 달러)​

4월 1일, Solana 최대 규모의 퍼펫추얼 DEX인 Drift Protocol에서 약 $ 2억 8,500만 달러가 12분 만에 탈취되었습니다. 이 공격은 세 가지 벡터를 연결했습니다:

1. 가짜 오라클 타겟: 공격자는 약 7억 5,000만 개의 가짜 "CarbonVote Token" (CVT)을 발행하고, 약 $500 달러 규모의 소규모 Raydium 풀을 생성한 뒤,$ 1 달러 근처에서 자전 거래 (wash-trade)를 하여 가격 이력을 조작했습니다.
2. 오라클 데이터 수집: 시간이 지나면서 조작된 가격이 오라클 피드에 수집되었고, CVT가 합법적인 견적 자산인 것처럼 보이게 만들었습니다.
3. 특권 접근: 가장 치명적인 점은, 공격자가 이전에 Drift의 멀티시그 서명자들을 사회 공학적으로 속여 숨겨진 권한 부여에 사전 서명하게 했으며, 타임락 (timelock)이 없는 보안 위원회 (Security Council) 마이그레이션으로 인해 프로토콜의 마지막 지연 방어선이 제거되었다는 것입니다.

조작된 오라클을 통해 부풀려진 담보 포지션이 승인되자, 공격자는 온체인 모니터링이 작동하기 전에 USDC, JLP 및 기타 예비 자산에 대해 31회의 신속한 출금을 실행했습니다.

강조해야 할 두 가지 세부 사항이 있습니다. 첫째, Elliptic과 TRM Labs 모두 Drift 사건을 라자루스의 소행으로 보고 있으며, 이로써 18일 만에 두 번째 국가 급 DeFi 침해가 발생했습니다. 둘째, 프로토콜이 실패한 것이 아니라 거버넌스 배관이 실패했다는 점입니다. 스마트 컨트랙트는 구성된 대로 정확하게 작동했습니다. 취약점은 사회 공학적 기법과 타임락을 제거한 거버넌스 업그레이드에 있었습니다.

Solana 재단의 대응은 시사하는 바가 큽니다. 재단은 며칠 만에 보안 체계 전면 개편을 발표하며, 이번 사건을 Solana 프로토콜의 버그가 아닌 프로토콜과 생태계 간의 조정 문제로 명시적으로 규정했습니다. 이러한 프레이밍은 정확합니다. 이는 또한 보안 경계가 이동했음을 인정하는 것이기도 합니다.

사례 3: 5억 달러 규모의 스테이블코인을 뒷받침하는 단일 클라우드 키 (Resolv, 2,500만 달러)​

3월 22일에 발생한 Resolv Labs 사고는 금액 면에서는 세 건 중 가장 작지만, 구조적으로는 가장 시사하는 바가 큽니다. Resolv Labs의 AWS Key Management Service (KMS) 환경에 접근 권한을 얻은 공격자는 권한이 부여된 SERVICE_ROLE 서명 키를 사용하여 약 10만 ~ 20만 달러의 실제 USDC 예치금으로부터 담보가 없는 USR 스테이블코인 8,000만 개를 민팅(발행)했습니다. 총 현금화 소요 시간: 17분.

취약점은 Resolv의 스마트 컨트랙트에 있었던 것이 아닙니다 — 컨트랙트는 감사를 통과했습니다. 문제는 권한이 있는 민팅 역할이 멀티시그가 아닌 단일 외부 소유 계정 (EOA)이었으며, 그 키가 단일 AWS 계정 뒤에 위치했다는 점이었습니다. Chainalysis가 언급했듯이, "5억 달러의 TVL을 보유한 프로토콜이 무제한 민팅을 제어하는 단일 프라이빗 키를 가지고 있었던 것"입니다. 최초의 침입 경로가 피싱이었는지, 잘못 설정된 IAM 정책이었는지, 유출된 개발자 자격 증명이었는지, 아니면 공급망 공격이었는지는 여전히 밝혀지지 않았으며 — 그 모호함 자체가 핵심입니다. 프로토콜의 공격 표면은 바로 DevOps 경계였습니다.

공통된 맥락: 레드팀 검토 없는 업그레이드​

브릿지, 오라클, 클라우드 관리 서명 키는 서로 매우 다른 영역처럼 느껴집니다. 하지만 4월에 발생한 각 사고는 동일한 운영 패턴으로 거슬러 올라갑니다. 즉, 팀이 구성, 거버넌스 프로세스 또는 인프라 선택에 대해 업그레이드를 수행하면서 프로토콜의 신뢰 가정을 변경했으나, 새로운 가정을 포착할 수 있는 검토 프로세스가 구조화되어 있지 않았다는 점입니다.

Kelp는 LayerZero가 문서화는 했지만 3억 달러의 유동성을 대상으로 스트레스 테스트를 거치지 않은 기본 DVN 설정으로 업그레이드했습니다. Drift는 타임락 (timelocks)을 제거하기 위해 보안 위원회 거버넌스를 업그레이드했으며, 이로 인해 사회 공학적 기법으로 승인된 권한을 드러낼 수 있었던 지연 시간을 없애 버렸습니다. Resolv는 일반적인 클라우드 DevOps의 일부로 단일 키에 권한이 부여된 민팅 역할을 운영했습니다.

이것이 바로 OWASP가 2026 스마트 컨트랙트 10대 취약점 (SC10)에 "프록시 및 업그레이드 가능성 취약점"을 완전히 새로운 항목으로 추가한 이유입니다. 프레임워크는 마침내 공격자들이 이미 이동한 지점을 따라잡고 있습니다. 하지만 OWASP 규칙은 스스로 실행되지 않습니다. 대부분의 프로토콜이 여전히 "우리는 감사를 받았다"라는 지배적인 보안 내러티브에 머물러 예산을 책정하지 않는 인간의 검토 단계가 필요합니다.

그 내러티브는 이제 명백히 불충분함이 증명되었습니다. 2026년의 가장 큰 세 가지 사고 중 일부는 스마트 컨트랙트 감사를 통과했습니다. 침해 사고는 다른 곳에서 발생했습니다.

130억 달러의 자본 유출과 모듈형 신뢰의 실제 비용​

경제적 피해는 도난당한 자금을 훨씬 넘어 파급됩니다. Kelp 자금 유출 후 48시간 이내에 Aave의 TVL은 약 84.5억 달러 하락했으며, 광범위한 DeFi 섹터에서는 132억 달러 이상이 증발했습니다. AAVE 토큰은 16 ~ 20% 하락했습니다. SparkLend, Fluid, Morpho는 rsETH 관련 시장을 동결했습니다. 이러한 자금 이동의 혜택을 가장 많이 본 것으로 보이는 SparkLend는 사용자들이 더 단순한 담보 구성을 가진 곳을 찾으면서 약 6.68억 달러의 순 신규 TVL을 확보했습니다.

이러한 전염 효과의 이면에 있는 메커니즘을 명확히 짚어볼 필요가 있습니다. Kelp의 브릿지를 비운 후, 공격자는 훔친 rsETH를 Aave V3에 담보로 예치하고 이를 기반으로 대출을 실행했습니다. 그 결과 단일 rsETH / 래핑된 이더 (wrapped-ether) 쌍에 약 1.96억 달러의 불량 부채가 집중되었습니다. rsETH를 담보로 수용하는 어떤 대출 플랫폼도 모듈형 DeFi의 결합 방식 때문에 자신들의 담보 안전 장치가 1대 1 실패 모드 (1-of-1 failure mode)를 가진 단일 검증자 LayerZero 브릿지에 의존하고 있다는 사실을 알 수 없었습니다. 브릿지가 무너지자, 모든 플랫폼이 동시에 같은 구멍에 노출되었습니다.

이것이 DeFi 결합성의 핵심에 있는 보이지 않는 결합 문제입니다. 각 프로토콜은 자신의 컨트랙트만 감사할 뿐, 자신이 담보로 수용하는 토큰을 발행하는 프로토콜의 운영상 가정을 감사하는 프로토콜은 거의 없습니다. 2026년 4월의 연쇄 반응은 현재 DeFi 통합을 고려 중인 모든 기관 데스크의 리스크 담당자들에게 그 간극을 명확히 인지시켰습니다.

향후 전망: 감사에서 지속적인 운영 검토로​

4월의 사고 급증을 건설적으로 해석한다면, 이는 DeFi 보안 투자의 다음 단계가 피할 수 없음을 시사합니다. 세 가지 변화가 이미 가시화되고 있습니다.

1. 브릿지 설정 공개의 필수화. 유동성 리스테이킹 및 크로스 체인 프로토콜이 오늘날 스마트 컨트랙트 소스 코드를 공개하는 것과 동일하게 명시적인 DVN 설정, 폴백 (fallback) 규칙, 검증자 임계값을 공개하고 업데이트할 것으로 기대됩니다. 일급 공개 자산으로서의 설정 관리는 이미 늦었습니다.

2. 타임락의 거버넌스 기본값 의무화. 업계 분석에 따르면 거버넌스 마이그레이션을 위한 실질적인 최소 지연 시간은 48시간으로 유지되어야 합니다. 이는 모니터링 시스템이 이상 징후를 감지하고 사용자가 자산을 출금하기에 충분한 시간입니다. Drift 해킹 사례로 인해 3분기까지 타임락 없는 마이그레이션은 전문적으로 방어하기 어려워질 것입니다.

3. 공식적인 다자간 연산 (MPC) 또는 HSM 제어하의 권한 키 보관. Resolv의 단일 EOA 민팅 역할은 이제 업계의 경고 사례가 되었습니다. 민팅 권한을 보유한 프로토콜은 LP와 기관 통합 파트너로부터 임계치 서명 체계 또는 하드웨어 격리 키 보관을 기본적으로 요구받게 될 것입니다.

더 깊은 구조적 변화는 일회성 결과물로서의 "감사"가 지속적인 운영 검토로 대체되고 있다는 점입니다. 이는 연간 감사 주기보다 빠르게 진화하는 설정, 거버넌스 변경 및 인프라 의존성에 대한 지속적인 평가를 의미합니다. 이를 가장 빠르게 내재화하는 프로토콜이 현재 불량 부채가 해결되기를 기다리며 관망하고 있는 기관 자본을 흡수하게 될 것입니다.

신뢰의 경계가 이동했습니다​

2026년 4월은 새로운 유형의 익스플로잇이 등장했다기보다, 기존의 방어 체계가 잘못된 경계를 향하고 있었음을 확인시켜 준 시기였습니다. 스마트 컨트랙트 감사는 여전히 필요하지만, 그것만으로는 전혀 충분하지 않습니다. DeFi의 신뢰 영역은 브릿지 설정, 거버넌스 구조, 및 클라우드 관리 키 등으로 외부로 확장되었으며, 국가 지원 해커 수준의 인내심과 자원을 갖춘 공격자들이 이제 이 경계를 체계적으로 공략하고 있습니다.

차세대 기관 통합을 이끌어낼 프로토콜은 한때 Solidity 코드에 쏟았던 것과 동일한 엄격함을 운영 태세에도 적용하는 프로토콜이 될 것입니다. 여전히 1년 된 감사 PDF 파일을 보안의 근거로 내세우는 팀들은 점점 더 다음 달 뉴스의 헤드라인을 장식할 팀이 되어가고 있습니다.

BlockEden.xyz는 종속성(dependencies)이 기술 스택에서 가장 지루하고 안정적인 부분이 되어야 하는 빌더들을 위해 엔터프라이즈급 RPC 및 인덱싱 인프라를 제공합니다. 2026년이 요구하는 운영상의 엄격함에 맞춰 설계된 기반 위에서 개발을 시작하려면 API 마켓플레이스를 살펴보세요.

Lido는 현재 가격으로 약 $ 19.4 billion 에 달하는 약 920만 ETH를 관리하고 있으며, 이는 전체 스테이킹된 이더리움의 거의 4분의 1을 차지합니다. 3년 동안 이 프로토콜은 단 하나의 상품만을 제공했습니다: ETH를 예치하고 stETH를 받아 스테이킹 보상을 받는 것이었습니다. 그 시대는 2026년 1월 30일, Lido V3가 이더리움 메인넷에 stVaults를 출시하며 끝났습니다. 이를 통해 Lido는 거대한 단일 스테이킹 풀에서 누구나 stETH의 독보적인 DeFi 유동성을 활용하면서 맞춤형 스테이킹 전략을 구축할 수 있는 모듈형 플랫폼으로 변모했습니다.

출시 몇 시간 만에 Consensys가 지원하는 Linea는 모든 브릿지된 ETH에 대해 자동 스테이킹을 도입했습니다. Nansen은 첫 스테이킹 상품을 출시했습니다. 그리고 3월에 Lido는 한 걸음 더 나아가, 프로토콜이 ETH를 완전히 넘어설 수 있게 해주는 EarnUSD 스테이블코인 볼트(vault)를 선보였습니다.

이것은 단순한 점진적 업그레이드가 아닙니다. 리퀴드 스테이킹 토큰(liquid staking tokens)이 발명된 이래 DeFi 스테이킹 분야에서 가장 중요한 아키텍처의 변화입니다.

수개월 동안 “리스테이킹”은 포인트, 에어드롭, 복리 수익률 약속으로 가득 찬 가장 뜨거운 크립토 내러티브였습니다. 하지만 내러티브는 청구서를 지불하지 못합니다. 2025년에는 이야기가 훨씬 더 실질적인 것으로 대체되었습니다: 실제 현금 흐름과 실제 위험을 가진 작동하는 경제 시스템, 그리고 온체인 수익률을 완전히 새롭게 가격 책정하는 방식입니다.

슬래싱과 같은 핵심 인프라가 이제 라이브로 운영되고 수수료 기반 서비스가 본격화되면서, 리스테이킹 생태계는 마침내 성숙했습니다. 2024년의 과대광고 사이클은 2025년의 인수 사이클로 전환되었습니다. 이제 포인트를 쫓는 대신 위험을 가격 책정하는 순간입니다.

핵심 요약은 다음과 같습니다:

• 리스테이킹이 내러티브에서 현금 흐름으로 전환되었습니다. 2025년 4월 17일 현재 메인넷에서 슬래싱이 활성화되었으며, Rewards v2 거버넌스 프레임워크가 적용돼 EigenLayer의 수익 메커니즘에 강제 다운사이드, 명확한 운영자 인센티브, 점점 더 수수료 중심의 보상이 포함되었습니다.
• 데이터 가용성 비용이 저렴해지고 속도가 빨라졌습니다. 주요 AVS인 EigenDA는 2024년에 가격을 약 10배 인하했으며, 대규모 처리량을 향해 나아가고 있습니다. 이는 실제로 AVS에 비용을 지불하고 이를 보안하는 운영자들에게 큰 의미가 있습니다.
• **리퀴드 리스테이킹 토큰(LRT)**은 스택 접근성을 높여 주지만 새로운 위험을 추가합니다. Ether.fi(weETH), Renzo(ezETH), Kelp DAO(rsETH)와 같은 프로토콜은 유동성과 편의성을 제공하지만, 스마트 계약 실패, 운영자 선택 위험, 시장 페그 불안정성 등 새로운 위험 벡터를 도입합니다. 우리는 이미 실제 디페그 사건을 목격했으며, 이는 이러한 다층 위험을 상기시켜 줍니다.

1) 2025년 수익 스택: 기본 스테이킹 → AVS 수수료​

핵심 개념은 단순합니다. 이더리움 스테이킹은 네트워크 보안을 위해 기본 수익을 제공합니다. EigenLayer가 선도하는 리스테이킹은 동일한 스테이킹 자본(ETH 또는 리퀴드 스테이킹 토큰)을 다른 서드파티 서비스, 즉 **Actively Validated Services(AVS)**에 확장해 보안을 제공할 수 있게 합니다. 데이터 가용성 레이어, 오라클, 크로스체인 브리지, 특수 코프로세서 등 어떤 것이든 가능합니다. 이 “빌린” 보안에 대한 대가로 AVS는 노드 운영자에게, 궁극적으로는 리스테이커에게 수수료를 지급합니다. EigenLayer는 이를 “신뢰의 마켓플레이스”라고 부릅니다.

2025년, 이 마켓플레이스는 크게 성숙했습니다:

• 슬래싱이 프로덕션에 적용되었습니다. AVS는 이제 비행 행동을 하는 노드 운영자를 처벌하는 조건을 정의하고 강제할 수 있습니다. 이는 추상적인 보안 약속을 구체적인 경제적 보증으로 전환합니다. 슬래싱으로 “포인트”는 강제 가능한 위험/보상 계산으로 대체됩니다.
• Rewards v2는 보상 및 수수료 분배 흐름을 시스템 전반에 공식화합니다. 거버넌스 승인을 받은 이 변화는 AVS, 운영자, 리스테이커 간 인센티브를 명확히 맞춥니다.
• **재분배(Redistribution)**가 시작되었습니다. 이 메커니즘은 슬래시된 자금을 어떻게 처리할지 결정해 손실과 회수금을 시스템 전체에 사회화합니다.

왜 중요한가: AVS가 실제 수익을 창출하고 비행에 대한 처벌이 신뢰할 수 있게 되면, 리스테이킹 수익은 마케팅 스토리가 아닌 정당한 경제 상품이 됩니다. 4월에 슬래싱이 활성화된 것이 전환점이며, 수십 개의 라이브 AVS가 수십억 자산을 보호하는 원래 비전을 완성했습니다.

2) DA를 수익 엔진으로: EigenDA의 가격/성능 곡선​

롤업이 크립토경제 보안의 주요 고객이라면, **데이터 가용성(DA)**이 단기 수익이 살아있는 곳입니다. EigenLayer의 플래그십 AVS인 EigenDA가 완벽한 사례 연구입니다.

• 가격: 2024년 8월, EigenDA는 약 10배에 달하는 대대적인 가격 인하와 무료 티어를 발표했습니다. 이는 더 많은 애플리케이션과 롤업이 데이터를 게시하는 것을 경제적으로 가능하게 하여, 서비스를 보안하는 운영자와 리스테이커에게 흐르는 수수료를 직접 늘립니다.
• 처리량: 현재 메인넷은 약 10 MB/s를 지원하지만, 운영자 풀이 확대됨에 따라 100 MB/s 이상을 목표로 하는 로드맵을 가지고 있습니다. 이는 규모와 경제성이 지속 가능한 수수료 창출을 향해 올바른 방향으로 가고 있음을 시사합니다.

핵심 요점: 저렴한 DA 서비스와 신뢰할 수 있는 슬래싱의 결합은 AVS가 인플레이션 토큰 발행에 의존하지 않고 수수료 기반의 지속 가능한 수익을 창출할 수 있는 명확한 활주로를 제공합니다.

3) AVS, 진화: “Actively Validated”에서 “Autonomous Verifiable”로​

용어에 미묘하지만 중요한 변화가 있습니다. AVS는 이제 단순히 “Actively Validated Services”가 아니라 “Autonomous Verifiable Services” 로 불립니다. 이 용어 변화는 시스템이 암호학적으로 올바른 동작을 증명하고 자동으로 결과를 강제할 수 있음을 강조합니다. 이는 라이브 슬래싱과 프로그램형 운영자 선택이 현실화된 새로운 환경과 완벽히 맞물려, 보다 견고하고 신뢰 최소화된 인프라의 미래를 예고합니다.

4) 참여 방법​

일반 DeFi 사용자나 기관이 리스테이킹 생태계에 참여하는 일반적인 세 가지 방법과 각각의 트레이드오프는 다음과 같습니다.

• 네이티브 리스테이킹

  • 작동 방식: native ETH(또는 승인된 자산)를 직접 EigenLayer에 리스테이킹하고 원하는 운영자를 위임합니다.
  • 장점: 운영자 선택과 보호하는 AVS를 최대한 제어할 수 있습니다.
  • 단점: 운영 부담이 크고, 운영자에 대한 자체 실사를 해야 하며, 모든 선택 위험을 직접 감당합니다.

• LST → EigenLayer (새 토큰 없이 리퀴드 리스테이킹)

  • 작동 방식: 기존 Liquid Staking Token(LST)인 stETH, rETH, cbETH 등을 EigenLayer 전략에 예치합니다.
  • 장점: 기존 LST를 재활용해 노출을 단순하게 유지하고 익숙한 자산 위에 구축할 수 있습니다.
  • 단점: 프로토콜 위험이 겹칩니다. 기본 LST, EigenLayer, 혹은 보호하는 AVS 중 하나라도 실패하면 손실이 발생합니다.

• LRT(Liquid Restaking Tokens)

  • 작동 방식: 프로토콜이 weETH(eETH 래핑), ezETH, rsETH와 같이 전체 리스테이킹 과정을(위임, 운영자 관리, AVS 선택) 하나의 유동 토큰으로 묶어 발행합니다. 이 토큰은 DeFi 전반에서 사용할 수 있습니다.
  • 장점: 편의성과 유동성이 가장 큰 장점입니다.
  • 단점: 편의성 뒤에 추가 위험이 존재합니다. LRT 자체 스마트 계약 위험과 2차 시장에서의 페그 위험이 포함됩니다. 2024년 4월 ezETH 디페그 사건은 LRT가 여러 상호 연결된 시스템에 대한 레버리지 노출임을 실증했습니다.

5) 재가격 책정된 위험​

리스테이킹의 약속은 실제 작업을 수행함으로써 더 높은 수익을 얻는 것입니다. 이제 그 위험도 실제가 되었습니다.

• 슬래싱 및 정책 위험: 슬래싱이 라이브이며, AVS는 맞춤형(때로는 복잡한) 처벌 조건을 정의할 수 있습니다. 노출되는 운영자 풀의 품질과 분쟁·항소 처리 방식을 이해하는 것이 중요합니다.
• LRT의 페그·유동성 위험: 2차 시장은 변동성이 큽니다. 이미 보았듯이 LRT와 기초 자산 간 급격한 괴리는 실제로 발생합니다. LRT를 다른 DeFi 프로토콜에 사용할 때는 유동성 위기 대비 버퍼와 보수적인 담보 비율을 설정해야 합니다.
• 스마트 계약·전략 위험: LST/LRT + EigenLayer + AVS와 같이 여러 스마트 계약을 겹쳐 사용합니다. 감사 품질과 거버넌스가 프로토콜 업그레이드를 어떻게 관리하는지가 핵심입니다.
• 처리량·경제성 위험: AVS 수수료는 보장되지 않으며 사용량에 전적으로 의존합니다. DA 가격 인하는 긍정적인 촉매이지만, 롤업 및 기타 애플리케이션의 지속적인 수요가 리스테이킹 수익의 최종 엔진입니다.

6) 리스테이킹 수익을 평가하는 간단한 프레임워크​

이러한 역학을 고려하면, 리스테이킹 기대 수익을 다음과 같이 간단히 모델링할 수 있습니다:

Expected Return = Base Staking Yield + AVS Fees - Expected Slashing Loss - Frictions

각 항목을 살펴보면:

• Base Staking Yield: 이더리움 보안을 제공함으로써 얻는 기본 수익.
• AVS Fees: AVS가 지급하는 추가 수익, 당신이 할당한 운영자·AVS 비중에 따라 가중.
• Expected Slashing Loss: 새로운 핵심 변수. 슬래시 가능 이벤트 발생 확률 × 페널티 규모 × 당신의 노출 로 추정.
• Frictions: 프로토콜 수수료, 운영자 수수료, LRT 사용 시 발생하는 유동성 할인·페그 할인 등.

완벽한 입력값은 없지만, 슬래시 항목을 보수적으로라도 추정하면 포트폴리오가 보다 현실적이 됩니다. Rewards v2와 Redistribution 도입으로 이 계산은 1년 전보다 훨씬 구체화되었습니다.

7) 2025년 할당자를 위한 플레이북​

• 보수형

  • 네이티브 리스테이킹 또는 직접 LST 리스테이킹 전략을 선호.
  • 투명하고 문서화된 AVS 보안 정책을 가진 다변화된 고가용성 운영자에게만 위임.
  • 데이터 가용성 또는 핵심 인프라 서비스를 제공하는 AVS와 같이 명확한 수수료 모델을 가진 대상에 집중.

• 균형형

  • 직접 LST 리스테이킹과 깊은 유동성·운영자 공개 정보를 가진 선택된 LRT를 혼합.
  • 단일 LRT 프로토콜에 대한 노출을 제한하고, 페그 스프레드와 온체인 유동성 상황을 적극 모니터링.

• 공격형

  • LRT 비중을 높여 유동성을 극대화하고, 성장 잠재력이 큰 소규모 AVS 또는 새로운 운영자 풀에 투자해 높은 상승 여지를 노림.
  • 슬래시·디페그 이벤트를 위한 예산을 명시적으로 책정. LRT 위에 레버리지를 사용하려면 디페그 충격을 충분히 모델링한 경우에만 허용.

8) 앞으로 주목할 점​

• AVS 수익 전환: 실제로 의미 있는 수수료 수익을 창출하는 서비스는? DA와 핵심 인프라 AVS에 눈을 주면 선두주자를 파악할 수 있습니다.
• 운영자 계층화: 향후 2~3분기 동안 슬래시와 Rewards v2 프레임워크가 최상위 운영자를 다른 운영자와 구분하게 될 것입니다. 성능·신뢰성이 핵심 차별 요소가 됩니다.
• “Autonomous Verifiable” 트렌드: 암호학적 증명과 자동 집행에 더 무게를 두는 AVS 설계에 주목. 장기적으로 가장 견고하고 수수료 가치가 높은 서비스가 될 가능성이 높습니다.

9) 수치에 대한 주의 (변동 가능성)​

다양한 출처와 시점에 따라 처리량·TVL 수치가 달라질 수 있습니다. 예를 들어 EigenDA 공식 사이트는 현재 메인넷 지원이 약 10 MB/s라고 하면서도 향후 로드맵에서는 100 MB/s 이상을 목표로 제시합니다. 이는 운영자 풀이 확대되고 소프트웨어가 개선됨에 따라 시스템이 지속적으로 진화하고 있음을 반영합니다. 데이터를 활용해 재무 모델을 구축할 때는 반드시 날짜와 맥락을 확인하십시오.

결론​

2024년은 과대광고 사이클이었습니다. 2025년은 인수 사이클입니다. 슬래싱이 라이브화되고 AVS 수수료 모델이 매력적으로 변하면서, 리스테이킹 수익은 가격 책정 가능해졌고, 따라서 진정한 투자 대상이 되었습니다. 운영자, AVS, LRT 유동성에 대해 충분히 조사할 준비가 된 고급 DeFi 사용자와 기관 재무팀에게 리스테이킹은 이제 약속된 내러티브를 넘어 온체인 경제의 핵심 구성 요소로 자리 잡았습니다.

본 글은 정보 제공 목적이며, 투자 조언을 의미하지 않습니다.