2억 9,300만 달러 규모의 KelpDAO 해킹, DeFi 복잡성 리스크의 경고장

저는 2019년부터 DeFi 시장을 지켜봐 왔습니다. 그동안 제가 배운 게 있다면, 업계에서 말하는 '혁신'이라는 단어는 사실 "아무도 완전히 이해하지 못하는 리스크 층을 하나 더 추가했다"는 말을 정중하게 표현한 것에 불과할 때가 많다는 겁니다. 최근 발생한 2억 9,300만 달러 규모의 KelpDAO 해킹은 단순히 흔한 보안 사고 중 하나가 아닙니다. 이건 DeFi 복잡성 리스크가 무엇인지 보여주는 교과서적인 사례이며, 이제는 수학적 구조가 너무 엉켜서 안전하게 관리할 수 없는 임계점에 도달했다는 신호입니다. 참고로 이전에 다뤘던 DeFi 지갑 리스크 글을 보시면 배경 지식을 얻는 데 도움이 될 겁니다.

KelpDAO에 실제로 무슨 일이 있었나

리퀴드 리스테이킹(Liquid Restaking)의 복잡한 메커니즘을 잘 모르는 분들을 위해 설명하자면, KelpDAO는 사용자가 스테이킹 자산의 보상을 받으면서도 동시에 유동성을 유지할 수 있게 설계된 곳입니다. 문제는 리퀴드 리스테이킹이 결코 단순한 과정이 아니라는 점입니다. 수많은 스마트 컨트랙트 층과 제3자 프로토콜, 그리고 담보의 재귀적 루프가 얽혀 있죠.

이번 공격자는 단순히 코드 한 줄의 버그를 찾아낸 게 아닙니다. 프로토콜의 서로 다른 구성 요소들이 상호작용하는 방식 자체를 파고들었습니다. 시스템 상태를 조작해 거의 3억 달러에 가까운 자금을 빼낸 겁니다. 이건 전형적인 '플래시 론' 공격이라기보다, 특정하고 복잡한 일련의 사건들이 발생했을 때 시스템이 이를 제대로 처리하지 못해 터진 사고에 가깝습니다.

DeFi 복잡성 리스크란 무엇이며 왜 위험한가

제가 말하는 복잡성 리스크는 일종의 '레고 블록' 문제입니다. 초기 DeFi는 단순했습니다. 유니스왑은 토큰을 교환했고, 에이브(Aave)는 대출을 해줬죠. 명쾌했습니다. 하지만 지금은 어떤 프로토콜 위에 다른 프로토콜이 올라가고, 그게 다시 다른 토큰으로 래핑(wrapping)되어 수익 최적화 도구에 예치되는 구조입니다.

새로운 층이 쌓일 때마다 실패 지점도 하나씩 늘어납니다. 개별 코드 조각들이 아무리 '감사(audit)'를 받았고 '안전'하다고 해도, 이 조각들이 맞물려 돌아갈 때 예상치 못한 취약점이 생겨납니다. 모든 볼트가 튼튼하게 박혀 있지만, 전체적인 설계가 너무 불안정해서 엉뚱한 방향에서 바람 한 번 불었다고 건물 전체가 무너지는 고층 빌딩과 같습니다.

이런 패턴은 전에도 봤습니다. Drift Protocol 해킹 때도 리스크는 단순한 코드가 아니라 인간의 실수와 관리자 키 문제였습니다. 하지만 KelpDAO는 다릅니다. 리스크가 제품의 논리 구조 자체에 내장되어 있었다는 점이 더 뼈아픕니다.

업계가 놓치고 있는 것들

가장 큰 문제는 많은 사용자(그리고 일부 개발자들까지)가 보안 감사를 일종의 '합격 도장'으로 생각한다는 겁니다. 유명 보안 업체가 발행한 PDF 리포트 하나를 보고 내 돈이 안전할 거라고 믿어버리죠. 하지만 감사는 특정 시점의 스냅샷일 뿐입니다. 변동성이 심한 시장에서 다섯 개의 다른 프로토콜과 실시간으로 상호작용할 때 시스템이 어떻게 작동할지는 알려주지 않습니다.

사람들의 전 재산이 걸려 있는데 "빠르게 실행하고 일단 부수자(move fast and break things)"는 식의 마인드셋은 이제 정말 지긋지긋합니다. 현재 시장 데이터를 보면 공포-탐욕 지수는 43으로 '중립' 상태이며, 비트코인 도미네이션은 60.25%입니다. 많은 이들이 비트코인으로 숨어드는 이유는 DeFi의 '고수익' 뒤에 극심한 시스템적 리스크라는 숨겨진 비용이 있다는 걸 깨달았기 때문일 겁니다.

시스템적 붕괴로부터 내 자산을 지키는 방법

단 몇 블록 만에 3억 달러가 사라지는 꼴을 더 이상 보고 싶지 않다면, 자산을 보유하는 방식부터 바꿔야 합니다. 복잡한 시스템 속에서 '완벽하게 안전한' 프로토콜 같은 건 없기에 제가 특정 곳을 추천할 순 없습니다. 다만, 본인이 근본적으로 이해하지 못하는 프로토콜에 주력 자산을 절대 남겨두지 말라고 말씀드리고 싶습니다.

장기 보유할 자산이라면 체인 밖으로 꺼내 하드웨어 지갑에 보관하세요. 저는 개인적으로 Ledger Flex를 선호합니다. E-잉크 터치스크린 덕분에 악성 트랜잭션에 실수로 서명할 확률이 훨씬 낮아지거든요. 249달러라는 가격이 복잡성 리스크로 전 재산을 날리는 것에 비하면 아주 저렴한 보험료라고 생각합니다.

마지막 생각

이제 DeFi도 철 좀 들어야 할 때입니다. 연 수익률(APY) 20%를 쫓아 10개의 프로토콜을 겹겹이 쌓아 올리던 시대는 끝났습니다. 리스크가 너무 뻔히 보이기 시작했으니까요. 앞으로는 '지루한 DeFi'의 시대가 올 거라고 봅니다. 화려하고 복잡한 것보다 단순하고 투명하며, 충분히 검증된 프로토콜들이 결국 승리할 겁니다.

그전까지는 '최적화'니 '레이어드'니 하는 수익 모델을 제시하는 모든 프로토콜을 내 돈으로 하는 거대한 실험이라고 생각하세요. 30초 안에 냅킨에 자금 흐름도를 그릴 수 없다면, 그건 안전하기에 너무 복잡한 겁니다.

에디터가 엄선한 거래소에서 뉴스에 빠르게 대응해 보세요: MEXC