2026년 4월 18일, KelpDAO 브릿지에서 rsETH 116,500개($292M, 약 2,920억원)가 단 한 번의 위조된 LayerZero 메시지로 탈취됐습니다. 2026년 최대 단일 DeFi 해킹으로 기록된 이 사건의 배후가 북한 라자루스 그룹(Lazarus Group)으로 공식 확인되면서, Aave·Consensys·Arbitrum이 사상 최대 규모의 집단 복구 작전에 나섰습니다. 4월 28일 14시 기준 공포탐욕지수는 전일 대비 14포인트 하락한 33(공포)을 기록하며 시장이 불안 국면에 진입한 상태입니다.
핵심 내용 요약
핵심 요약: 2026년 4월 18일 KelpDAO 브릿지가 LayerZero 위조 메시지 공격으로 $292M(약 2,920억원) 피해를 입었습니다. 배후는 북한 라자루스 그룹으로 확인됐으며, Aave 복구펀드는 목표 $200M의 80%인 $160M을 이미 조성 완료했습니다.
- 피해 규모: rsETH 116,500개($292M) — 2026년 최대 단일 DeFi 해킹 (출처: CoinDesk, 2026-04-19)
- 공격 방식: LayerZero 크로스체인 메시지 위조 → rsETH를 20개 체인에 분산 고립
- 배후: 북한 라자루스 그룹 공식 확인 (출처: Chainalysis, 2026-04-27)
- Aave 복구펀드: $200M 목표 중 $160M(80%) 달성, Mantle+Aave DAO $127M 기여
- Consensys CEO 조 루빈: DeFi United 통해 30,000 ETH 복구 지원 서약
- Arbitrum Security Council: 공격자 연계 자금 30,000 ETH 이상 동결
- 2026년 4월 전체 해킹 피해: $606.2M(18일간) — 2025년 2월 Bybit 이후 최악 (출처: Analytics Insight)
- 2026년 누적 DeFi 피해: $771.8M / 47건 (출처: Phemex Research)
KelpDAO 해킹 전말 — LayerZero 브릿지를 겨냥한 정밀 공격
2026년 4월 18일, 해커는 LayerZero 크로스체인 메시징 프로토콜의 취약점을 악용해 KelpDAO 브릿지에 위조 메시지를 주입했습니다. 이 공격으로 rsETH 116,500개($292M)가 20개 이상의 블록체인에 분산 고립됐으며, 수천 명의 사용자가 자산을 인출하지 못하는 사태가 벌어졌습니다. KelpDAO는 즉시 브릿지를 중단하고, 도난 자금 반환 시 10% 화이트햇 바운티($29.2M)를 공식 제안했습니다. Chainalysis의 온체인 추적 결과, 공격자가 북한 국가 연계 사이버 조직인 라자루스 그룹임이 사흘 만에 확인됐습니다. 이번 사건은 크로스체인 자산 이동 시 보안이 검증된 Nestree Bridge와 같은 인프라 선택의 중요성을 다시 한번 부각시켰습니다.
라자루스 그룹의 연속 공격 — 웜홀 해킹과의 역사적 비교
Chainalysis에 따르면, KelpDAO 공격에 사용된 믹서 패턴과 자금 분산 기법은 라자루스 그룹의 고유한 지문과 정확히 일치합니다. 역사적으로 가장 유사한 사례는 2022년 2월 웜홀(Wormhole) 브릿지 해킹($3.2억)입니다. 당시 Jump Trading이 피해액 전액을 자체 보전해 사용자를 보호했습니다. KelpDAO도 비슷한 다자 협력 복구 모델을 채택했지만, 결정적 차이는 웜홀 공격자의 신원이 불명이었던 반면, KelpDAO의 라자루스 그룹은 국제 제재 대상으로 자금 자진 반환 가능성이 사실상 제로라는 점입니다. 이 조직은 2025년 Bybit $15억 해킹의 배후이기도 하며, 2025~2026년 두 해 동안 크립토 생태계에서 $17억 이상을 탈취한 것으로 추산됩니다. 더 많은 DeFi 보안 분석은 Nestree 블로그에서 확인하실 수 있습니다.
DeFi 생태계의 집단 반격 — Aave·Consensys·Arbitrum 복구 작전
사건 이후 DeFi 생태계는 사상 유례없는 집단 대응에 나섰습니다. Aave DAO가 주도하는 복구펀드는 4월 23일 기준 목표액 $200M의 80%인 $160M 조성에 성공했으며, Mantle 네트워크와 Aave DAO가 합산 $127M을 기여했습니다. Consensys의 조 루빈(Joe Lubin) CEO는 DeFi United 이니셔티브를 통해 30,000 ETH를 서약하며 「이더리움 기술과 생태계는 반취약성(antifragile)을 지닙니다. DeFi United는 사용자 보호와 인프라 강화를 위한 광범위하고 조율된 대응입니다」라고 밝혔습니다 (출처: CryptoTimes, 2026-04-27). Arbitrum Security Council은 공격자 연계 지갑의 30,000 ETH 이상을 동결하고 법 집행 기관과 공조 중입니다. Nestree 생태계가 지향하는 분산형 거버넌스 모델이 실제 위기에서 작동하는 사례이기도 합니다.
| 항목 | 기여 주체 | 금액/규모 |
|---|---|---|
| 복구펀드 목표 | Aave DAO 주도 | $200M |
| 복구펀드 조성액 (4월 23일) | 80% 달성 | $160M |
| Mantle + Aave DAO | 최대 공동 기여 | $127M |
| Consensys / Joe Lubin | DeFi United 서약 | 30,000 ETH |
| Arbitrum 동결 자금 | Security Council | >30,000 ETH |
| 화이트햇 바운티 | KelpDAO 제안 | $29.2M (10%) |
2026년 4월 — 역대 두 번째 최악의 해킹 피해 달
KelpDAO 사건은 빙산의 일각이었습니다. 2026년 4월 18일간 암호화폐 해킹 총피해액은 $606.2M으로 집계됐습니다 (출처: Analytics Insight, 2026-04-18). 이는 2025년 2월 Bybit 단일 사건($15억) 이후 가장 피해가 컸던 달입니다. 2026년 누적 DeFi 피해액은 이미 $771.8M이며 47건의 사고가 발생했습니다. 이는 2023년 연간 피해액 약 $9억을 2분기 중 초과할 수 있는 속도입니다. 4월 28일에는 Sui 블록체인 기반 Volo Protocol도 $350만 피해를 입어 공격이 이어지고 있습니다.
| 사건 | 일시 | 피해액 | 공격 방식 | 배후 |
|---|---|---|---|---|
| KelpDAO | 2026년 4월 | $292M | LayerZero 위조 | 라자루스 그룹 |
| Bybit | 2025년 2월 | $1.5B | CEX 핫월렛 침투 | 라자루스 그룹 |
| Wormhole | 2022년 2월 | $320M | 브릿지 서명 위조 | 미상 |
| Ronin Network | 2022년 3월 | $625M | 검증자 키 탈취 | 라자루스 그룹 |
| Volo Protocol | 2026년 4월 28일 | $3.5M | 스마트 컨트랙트 | 미상 |
업비트 시장 현황 — 공포탐욕지수 33, TOKAMAK 급등
4월 28일 14시 기준 업비트에서 이더리움(ETH)은 340만원(-0.99%)에 거래됐으며, BTC·ETH 김치 프리미엄은 각각 +0.79%를 기록했습니다 (출처: Upbit API, 2026-04-28 14:00 KST). 국내 이더리움 레이어2 프로젝트인 TOKAMAK이 817원(+5.69%, 거래량 951억원)으로 업비트 거래량 4위에 오르며 주목받았습니다. 공포탐욕지수는 전일 대비 14포인트 하락한 33(공포)을 기록해 시장이 위험 회피 국면에 진입했습니다. 이번 DeFi 해킹 사태에 대한 커뮤니티 의견은 Vote.Token 플랫폼에서 투표로 확인해보세요.
| # | 코인 | 현재가 | 24h 변동 | 거래량(24h) | 고가 | 저가 |
|---|---|---|---|---|---|---|
| 1 | PRL | 497원 | +2.90% | 2752.6억원 | 562원 | 454원 |
| 2 | ETH | 3,400,000원 | -0.99% | 1496.7억원 | 3,437,000원 | 3,388,000원 |
| 3 | USDT | 1,486원 | -0.34% | 1108.0억원 | 1,491원 | 1,484원 |
| 4 | TOKAMAK | 817원 | +5.69% | 951.1억원 | 906원 | 756원 |
| 5 | PENGU | 15원 | -3.90% | 326.2억원 | 16원 | 14원 |
| 6 | DOGE | 148원 | +0.00% | 255.3억원 | 150원 | 146원 |
| 7 | 0G | 817원 | -1.09% | 190.1억원 | 849원 | 802원 |
| 8 | PIEVERSE | 1,061원 | -1.49% | 173.1억원 | 1,076원 | 1,047원 |
| 9 | AWE | 83원 | -0.72% | 164.3억원 | 86원 | 81원 |
| 10 | IP | 762원 | -1.68% | 99.9억원 | 794원 | 758원 |
| 코인 | 김치 프리미엄 |
|---|---|
| BTC | +0.79% |
| ETH | +0.79% |
투자자들이 주목해야 할 포인트
- DeFi 브릿지 리스크 점검: LayerZero 기반 브릿지 사용 전 보안 감사 이력과 보험 커버리지를 반드시 확인하십시오.
- rsETH 보유자 행동지침: 복구펀드 목표 달성 후에도 전액 보상 여부와 일정은 미정입니다. 공식 KelpDAO 채널 발표만 신뢰하십시오.
- ETH 기관 매수세 지속: BitMine의 101,000 ETH 보유(Tom Lee CEO: 「전쟁의 가치 저장 수단」)는 중장기 ETH 수요 기반을 지지합니다 (출처: CoinTelegraph).
- 공포탐욕지수 33 해석: 단기 변동성에 유의하십시오. BTC 숏 포지션 $14억이 $80,000 수준에서 청산 위험에 노출돼 있습니다.
- 보안 감사 DeFi 선별 투자: 이번 사건 이후 보안 인증이 명확한 프로젝트와 그렇지 않은 프로젝트 간 가치 분화가 가속될 전망입니다.
심층적인 DeFi 보안 분석과 리스크 관리 전략이 필요하다면 Nestree 프리미엄 분석을 통해 실시간 시장 인사이트를 확인해보세요.
자주 묻는 질문
rsETH란 무엇이며 이번 해킹과 어떤 관계인가요?
rsETH는 KelpDAO가 발행하는 리스테이킹(Re-staking) ETH 파생 토큰으로, 사용자가 ETH를 예치하면 rsETH를 받아 DeFi에서 추가 수익을 창출할 수 있습니다. 이번 해킹에서 공격자는 LayerZero 브릿지 컨트랙트에 위조 메시지를 주입해 rsETH 116,500개($292M)를 20개 체인에 분산 고립시켜 사실상 탈취했습니다.
KelpDAO 피해자는 실제로 보상을 받을 수 있나요?
Aave 복구펀드가 목표 $200M의 80%($160M)를 조성했으며, Consensys도 30,000 ETH를 서약했습니다. 그러나 피해액 $292M 전액 보상은 여전히 불확실하며, 라자루스 그룹이 자금을 자발적으로 반환할 가능성은 극히 낮습니다. 최종 보상 규모와 일정은 KelpDAO 공식 채널 발표를 기다려야 합니다.
출처
- KelpDAO $292M Exploit: 2026's Biggest Crypto Hack, CoinDesk
- Aave Rallies DeFi Partners for $160M Recovery Fund, CoinDesk
- Consensys & Joe Lubin Back rsETH Recovery with 30K ETH, CryptoTimes
- KelpDAO Bridge Exploit — Lazarus Group Attribution, Chainalysis
- April 2026 Crypto Hacks Hit $606M in 18 Days, Analytics Insight
- DeFi Hacks 2026: Bridge Exploits Explained, Phemex
이 기사는 정보 제공 목적이며, 투자 조언이 아닙니다. 모든 투자 결정은 본인의 판단과 책임 하에 이루어져야 합니다.
