Aave는 해킹당하지 않았는데 왜 $6.2B가 증발했나

【Aave는 멀쩡했지만 자금은 빠져나갔다】이번 사건의 핵심은 "Aave가 해킹당했는가"가 아니라 "Aave가 해킹당하지 않았는데 왜 대규모 유출이 발생했는가"에 있다. 저자는 DeFi에서는 코어 컨트랙트가 무사하다고 해서 예치자 안전까지 보장되지는 않는다고 본다. 상호 연결된 프로토콜 구조에서는 외부에서 발생한 사고가 신뢰 붕괴를 통해 본체 유동성까지 빨아들일 수 있다.

【시발점은 Kelp DAO 브리지의 위조 메시지】사건은 Kelp DAO의 크로스체인 설계에서 시작됐다. rsETH를 다른 체인으로 옮길 때는 소각·락업·재발행의 정합성이 맞아야 하는데, 공격자는 `lzReceive` 취약점을 찔러 "이미 소각됐다"는 가짜 메시지를 보냈다. 그 결과 약 116,500 rsETH, 약 $292M 규모가 부정 인출됐다. 문제의 출발점은 Aave 내부가 아니라, 연결된 담보 자산의 품질이었다.

【도난 rsETH는 Aave에서 사실상 현금화됐다】공격자는 훔친 rsETH를 DEX에서 바로 팔지 않고 Aave에 담보로 넣어 WETH를 빌렸다. Aave에서만 약 $196M, 다른 프로토콜까지 합치면 총 차입은 $236M를 넘었다. 담보인 rsETH는 이미 뒷받침을 잃은 상태였고 시간이 갈수록 가치가 더 훼손된다. 즉, 공격자는 Aave 코드를 직접 건드리지 않고도 담보 붕괴를 이용해 실질적인 자금 인출 효과를 만든 셈이다.

【예치자들의 뱅크런이 2차 피해를 키웠다】Aave 팀은 코어 프로토콜은 건재하다고 설명했지만, 예치자 입장에서는 "rsETH 풀에 거액의 부실채권이 생겼다"는 사실이 더 중요했다. Umbrella 메커니즘이나 stkAAVE 흡수 여력이 얼마나 되는지 불확실한 상태라면, 최악을 가정하고 출금부터 시도하는 것이 합리적이다. 그 결과 Aave 메인 풀 이용률은 100%까지 치솟았고, 출금 불능과 추가 차입이 겹치며 다른 프로토콜로도 충격이 번졌다.

【48시간 만에 $6.2B가 빠져나간 진짜 이유】저자는 이번 사태의 본질을 "해킹"이 아니라 "신뢰와 유동성의 붕괴"로 본다. 안전장치로 기대받던 보험성 메커니즘도 극단적 스트레스 상황에서 실제로 얼마나 작동하는지는 검증되지 않았다. 시장 참가자들이 이 불확실성을 한꺼번에 가격에 반영하면서, Aave 본체가 망가지지 않았어도 시스템 전체에서는 48시간 동안 $6.2B 순유출이 발생했다.

【드러난 구조적 문제와 투자자에게 주는 교훈】근본 원인으로는 LRT 프로토콜들이 시장 점유율 확대를 우선시하며, 더 안전한 네이티브 설계보다 빠른 멀티체인 확장을 택한 구조가 지목된다. 저자는 "해킹되지 않았다"는 말이 더 이상 안전 보장이 아니며, LRT 담보 리스크는 과소평가돼 왔고, 주말 대응 지연은 실제 공격 벡터가 될 수 있다고 정리한다. DeFi 자체가 끝난 것은 아니지만, "수익률이 높으니 가볍게 쓴다"는 시대는 분명히 끝나가고 있다는 메시지다.