올해 최대 규모의 탈중앙화금융(DeFi·디파이) 해킹 사고 여파로 디파이 뱅크런이 발생하면서 가상화폐 시장이 흔들리고 있다. 최근 북한 연계 해킹이 증가하고 인공지능(AI) 기반 공격도 확산되는 가운데 디파이의 구조적 취약성이 수면 위로 떠올랐다는 평가다.

20일 가상화폐 업계에 따르면 리퀴드 리스테이킹 프로토콜 켈프다오(KelpDAO)는 19일 해킹 공격을 받아 이더리움 기반 수익형 토큰인 rsETH 약 2억 9200만 달러(약 4300억 원) 규모가 무단 발행되는 사고가 발생했다. 올해 디파이 해킹 가운데 최대 규모다.

rsETH는 이용자가 이더리움(ETH)을 예치하면 동일한 가치로 발행되는 리스테이킹 토큰으로 다른 디파이 프로토콜에서 담보로 활용해 추가 수익을 낼 수 있도록 설계된 자산이다. 공격자는 시스템을 조작해 실제 담보 없이 rsETH를 대량 발행한 것으로 파악된다. 이처럼 무단 발행한 rsETH를 담보로 다른 대출 프로토콜에서 이더리움 등 실제 자산을 차입하면서 충격은 디파이 생태계 전반으로 빠르게 확산됐다.

디파이 시장 최대 대출 프로토콜인 에이브가 특히 직격탄을 맞았다. 에이브의 rsETH 담보 대출 풀의 이용률이 급등하면서 예치된 자금 대부분이 대출로 묶이게 됐고 이용자들이 맡겨둔 자산을 바로 출금하기 어려운 상황이 발생한 것이다. 사태 발생에 이용자들이 스테이블코인을 추가로 대출받는 방식으로 급하게 자금을 회수하면서 유동성이 더욱 악화되는 2차 충격까지 이어졌다.

이번 해킹 사고 여파에 따른 에이브의 자금 이탈은 심각한 수준이다. 프로토콜에 예치된 총 자산(TVL)은 18일 263억 달러에서 19일 186억 달러로 하루 만에 약 78억 달러(약 11조 원)가 이탈했다. 이날 오후 3시 40분 디파이라마 기준 에이브 TVL은 일주일 전 대비 약 30% 급감한 177억 달러다. 다른 대출 프로토콜들인 모포(-9%), 스카이(-11%), 스파크(-33%) 일제히 감소하며 연쇄 충격 양상이 나타나고 있다.

디파이를 겨냥한 해킹은 최근 급증세를 보이며 시장 불안을 키우고 있다. 블록체인 보안업체 해큰에 따르면 올 1분기 디파이 시장에서 해킹은 총 44건 발생했으며 피해 규모는 약 4억 8200만 달러(약 7104억 원)를 넘어섰다. 특히 북한 연계 해킹 조직이 가장 큰 리스크 요인으로 지목된다.

이더리움 재단의 최근 보고서에 따르면 재단이 6개월간 진행한 조사에서 53개 프로젝트에 침투한 약 100명 규모의 북한 정보통신(IT) 인력이 적발됐다. 이들은 내부 직원으로 위장해 코드와 인프라에 접근한 뒤 장기간 잠복하며 공격을 준비하는 방식으로 활동하는 것으로 나타났다.

여기에 인공지능(AI)을 활용한 공격까지 확산되면서 디파이 보안은 한층 더 악화되고 있다. 앤트로픽의 ‘미토스’와 같은 고성능 AI 모델을 활용할 경우 취약점 탐지부터 공격 설계까지 걸리는 시간이 기존 수주에서 수개월 수준에서 분 단위로 단축될 수 있다는 분석이 나온다.

디파이 보안 우려가 커지는 가운데 이번 대규모 해킹 사고까지 발생하면서 시장에서는 디파이에 대한 신뢰가 크게 흔들리고 있다. 일부 커뮤니티에서는 “디파이는 끝났다”는 반응까지 나오면서 투자 심리가 급격히 위축되는 모습이다.

가상화폐 전문 매체 코인데스크는 “이번 사건은 프로토콜 간 상호 연결성으로 인한 리스크 전이 확대롸 비격리 대출 구조, 신규 자산 검증 절차 미흡 등 디파이 구조의 핵심 문제를 다시 드러냈다”며 “2026년은 디파이 해킹 측면에서 최악의 해가 될 가능성이 높다”고 지적했다.