Arbitrum 강제 회수에 ‘Code is Law’ 균열…L2 관리형 금융망 논쟁
미래에셋 “이더리움 L1, 기관 자산 정산 인프라로 부상”
디지털자산 시장에서 해킹과 유동성 경색이 잇따르면서 탈중앙화 금융(DeFi)의 구조적 취약성이 드러났다는 분석이 나왔다. 단순한 개별 프로토콜 사고가 아니라, 크로스체인 브릿지와 유동성 재스테이킹, 레버리지 대출 구조가 결합된 DeFi 전반의 리스크가 표면화됐다는 평가다.
KelpDAO 해킹, DeFi 구조적 취약성 드러내
미래에셋증권은 22일 발간한 ‘탈중앙화 가치의 소멸과 인프라로서의 이더리움 부상’ 보고서에서 최근 KelpDAO 해킹, Aave 유동성 경색, Arbitrum의 해커 자금 강제 회수 사례를 분석하며 “탈중앙화라는 종교는 죽었지만, 인프라로서의 이더리움 제국은 2막이 열렸다”고 밝혔다.
보고서에 따르면 KelpDAO 해킹은 스마트컨트랙트 코드 오류가 아니라 운영 보안 설정 실패에서 비롯됐다. KelpDAO는 rsETH의 크로스체인 이동 과정에서 LayerZero의 검증 네트워크를 사용했는데, 이를 복수 검증 구조가 아닌 단일 검증 노드 방식으로 설정했다. 공격자는 이 취약점을 악용해 가짜 메시지를 만들었고, 이를 통해 실제 담보 없이 rsETH를 발행한 것으로 분석됐다.
이후 공격자는 허위로 발행한 rsETH를 Aave에 담보로 맡기고 실제 이더리움 자산을 대출받았다. 미래에셋증권은 이 과정에서 Aave의 거버넌스 리스크도 드러났다고 지적했다. 경쟁 프로토콜들이 rsETH 담보인정비율을 보수적으로 유지한 반면, Aave는 이를 93%까지 높였고, 이는 공격자가 가짜 담보를 활용해 대규모 실제 자산을 빼낼 수 있는 구조를 만들었다는 설명이다.
보고서는 rsETH 구조 자체도 문제로 봤다. ETH를 스테이킹한 뒤 이를 다시 재스테이킹하고, 다시 유동화한 토큰을 담보로 대출하는 구조가 반복되면서 원자산과 여러 단계 떨어진 파생 자산이 DeFi 대출 시장의 핵심 담보로 사용됐다는 것이다. 미래에셋증권은 이를 2008년 금융위기 당시 파생상품의 재담보화 구조와 비교했다.
해킹 이후 Aave에서는 대규모 자금 이탈이 발생했다. 일부 주요 자산 풀의 활용률은 100%에 근접했고, 이는 예치자가 자산을 즉시 인출하기 어려운 유동성 경색으로 이어졌다. 보고서는 이를 “디지털 뱅크런”으로 표현하며, 단순 해킹 피해를 넘어 DeFi 청산 메커니즘 자체가 흔들릴 수 있는 상황이라고 분석했다.
미래에셋증권은 올해 들어 해킹 피해가 빠르게 확대되고 있다는 점도 짚었다. 보고서가 제시한 ‘2026년 1~4월 주요 해킹 스코어보드’에 따르면 KelpDAO 2억9000만 달러, Drift Protocol 2억8500만 달러, Trezor Victim 2억8400만 달러 등 대형 피해 사례가 잇따랐다. 공격 유형도 브릿지 해킹, 프로토콜 자금 탈취, 인프라 침투, 물리적 공격, 키 탈취, 스마트컨트랙트 취약점, 오라클 조작 등으로 다양화됐다.
보고서는 이를 두고 “고립된 일회성 사고가 아니라 AI 해킹 시대의 임계점 돌파를 보여주는 시스템적 징후”라고 평가했다. 단일 방어 체계만으로는 복잡해진 공격 표면을 막기 어려워졌다는 설명이다.
Arbitrum 강제 회수에 ‘Code is Law’ 균열
특히 Arbitrum 보안위원회가 해커 지갑의 자금을 강제로 동결·회수한 점은 업계의 핵심 철학인 ‘Code is Law’에 균열을 냈다는 평가다. 보고서에 따르면 Arbitrum은 해커 주소에 있던 약 3만766 ETH, 약 7100만 달러 규모 자금을 특수 지갑으로 이동시켰다. 이는 L2 네트워크가 완전히 무신뢰 기반으로 작동하는 것이 아니라, 위기 시 소수 운영 주체가 개입할 수 있는 관리형 금융망에 가깝다는 점을 보여줬다는 분석이다.
이 같은 구조는 기관투자자가 L2를 평가하는 기준과도 맞닿아 있다. 보고서는 L2의 투자 리스크를 비상권한 유무와 탈중앙화 수준에 따라 구분했다. 이더리움과 무관한 독립 체인이나 중앙화 데이터베이스형 시스템은 높은 리스크로 평가된 반면, 비상키와 다수결 위원회가 존재하는 Stage 1 Rollup L2는 실전 배포가 가능한 단계로 분류됐다. 비상키가 없고 코드만 작동하는 Stage 2 Rollup L2는 L1 보안을 완전히 상속하는 ‘골드 스탠더드’로 제시됐다.
이더리움 L1, 최종 정산 인프라로 부상
미래에셋증권은 이번 사태를 계기로 L2 생태계가 두 갈래로 재편될 것으로 전망했다. 하나는 기관 자금을 수용하기 위해 관리자 권한과 보안위원회, 규제 준수 체계를 명시적으로 갖춘 관리형 L2다. 다른 하나는 인간의 거버넌스 개입을 최소화하고 AI 에이전트 간 거래에 특화된 에이전트 전용 L2다.
이 과정에서 이더리움 L1의 역할은 오히려 강화될 수 있다는 분석이다. L2가 실용적 중앙화와 규제 대응을 받아들이는 동안, 이더리움 L1은 여러 L2와 기관 자산이 최종적으로 정산되는 중립 인프라로 남을 수 있다는 것이다.
다만 보고서는 Aave가 완전히 붕괴할 것이라는 전망은 과도하다고 봤다. Aave의 전체 관리 자산 대비 악성 부채 규모는 제한적이며, 거버넌스 조정을 통해 사태가 봉합될 가능성이 있다는 설명이다. 또한 이더리움이 유일한 승자가 될 것이라는 판단도 신중해야 한다고 덧붙였다. 솔라나나 비트코인 생태계가 유사한 스트레스 테스트를 견뎌낼 경우 온체인 인프라 전반으로 가치가 재편될 수 있다는 것이다.
미래에셋증권은 “시장은 혁신의 시대를 지나 혹독한 검증과 규제적 옥석 가리기의 겨울로 들어섰다”며 “이더리움 L1은 변동성 높은 DeFi 토큰의 근거지를 넘어 글로벌 결제 및 기관 자산 정산의 중립 인프라로 재탄생하는 시험대에 올랐다”고 진단했다.
관련 뉴스