해커와 규제가 DeFi를 망쳤나요?

저자: 谷昱, ChainCatcher

2026년 4월, 연속적인 안전 재난이 DeFi를 다시 한 번 여론의 중심으로 밀어넣었습니다. Kelp DAO와 Drift Protocol의 두 건의 공격은 총 5.75억 달러 이상의 손실을 초래했으며, DeFi의 총 잠금 가치(TVL)는 약 1720억 달러에서 1480억 달러로 급락했습니다. 대출 부문의 TVL만 해도 530억 달러에서 400억 달러로 붕괴되었습니다.

최근 며칠 동안, 유명한 보안 감사 회사 OpenZeppelin의 공동 창립자 Manuel Aráoz는 X 플랫폼에서 "모든 DeFi가 안전하지 않다고 생각합니다."라고 단호하게 말했습니다. 그는 심지어 Aave, MakerDAO 및 Compound와 같은 "저위험 블루칩"으로 인정받는 프로토콜을 포함하여 친지들에게 모든 DeFi 포지션을 청산할 것을 비공식적으로 권장하기 시작했다고 밝혔습니다.

이러한 판단은 매우 날카롭지만, 깊이 생각해볼 가치가 있습니다. 결국, OpenZeppelin은 오랫동안 DeFi 세계에서 가장 중요한 보안 인프라 구축자 중 하나로, 그들의 스마트 계약 표준과 보안 도구는 거의 전체 산업 발전 과정에 걸쳐 있습니다. 스마트 계약 보안 시스템을 가장 잘 아는 사람들이 DeFi의 위험을 의심하고 단호히 철수하기 시작한다면, 이는 분명히 더 깊은 문제들이 수면 위로 떠오르고 있다는 것을 의미합니다.

지난 몇 년 동안 DeFi가 좌절을 겪을 때마다 사람들은 항상 구체적인 이유를 빠르게 찾아냈습니다. 시장이 침체될 때 사람들은 책임을 거시 경제 환경에 돌렸고; 해킹 공격이 발생할 때 사람들은 기술적 결함 때문이라고 생각했습니다; 규제 기관이 조치를 취할 때 사람들은 문제를 정책 압력으로 귀결시켰습니다.

그러나 시간의 차원을 늘리면, 사람들은 점점 더 명확한 사실을 발견하게 됩니다: 오늘날 DeFi가 직면한 어려움은 특정 공격, 특정 규제 정책 또는 특정 실패한 프로젝트에 의해 발생한 것이 아니라, 그 최초의 두 가지 핵심 논리가 동시에 도전에 직면하고 있다는 것입니다.

하나의 논리는 기술 세계에서 비롯된 것으로, 코드가 신뢰를 대체할 수 있다는 것입니다. 다른 하나의 논리는 제도 세계에서 비롯된 것으로, 개방형 네트워크가 전통 금융 시스템의 제약을 우회할 수 있다는 것입니다.

그리고 해커와 규제는 바로 이 두 기둥을 각각 타격했습니다.

1. DeFi 안전 위기의 심층 진화

10년 동안 DeFi 안전 분야의 핵심 역설은 결코 변하지 않았습니다. Web3 보안 연구자들은 이미 이 치명적인 비대칭을 인식했습니다: 방어 측은 모든 가능한 취약점을 막아야 하지만, 공격자는 한 가지 단계에서만 성공하면 됩니다.

표면적으로 공격 수단은 크로스 체인 브리지 취약점, 다중 서명 권한 탈취, 오라클 조작 등 익숙한 패턴에 불과합니다. 그러나 Kelp DAO와 Drift Protocol의 두 사건은 더 잔혹한 경향을 드러냈습니다: 가장 치명적인 취약점은 종종 스마트 계약의 코드에 있지 않습니다.

4월 18일, 이더리움 유동성 재스테이킹 프로토콜 Kelp DAO가 공격을 받았습니다. 공격자는 LayerZero 크로스 체인 브리지의 DVN(탈중앙화 검증 네트워크) 구성 취약점을 이용해 크로스 체인 메시지를 위조하고, 몇 시간 내에 크로스 체인 브리지에서 116,500개의 rsETH를 빼내어 당시 가격으로 약 2.93억 달러에 해당하는 금액을 탈취했습니다.

이 재난의 본질은 코드 결함이 아니라 구성 오류입니다. Kelp DAO는 LayerZero의 크로스 체인 검증 네트워크에 대해 "1-of-1"을 선택했습니다. 즉, 하나의 DVN 노드만 확인하면 크로스 체인 메시지가 합법적으로 간주됩니다. 공격자가 검증 데이터를 제공하는 두 개의 RPC 노드를 해킹하고 DDoS 공격을 감행하자, 전체 브리지 시스템은 무용지물이 되었습니다.

4월 1일, 솔라나 생태계에서 가장 큰 영구 계약 DEX 중 하나인 Drift Protocol이 공격을 받아 2.85억 달러의 손실을 입었으며, 2026년 현재 최대 단일 DeFi 공격 사건이자 솔라나 역사상 두 번째로 큰 해킹 사건이 되었습니다.

이 또한 스마트 계약의 취약점이 아닙니다. 공격자는 사회 공학을 통해 다중 서명 지갑의 세 명의 서명자 중 최소 두 명을 해킹하고, 솔라나의 내구성 있는 논스 기능을 사용해 그들이 악의적인 거래를 미리 서명하도록 강요했습니다. 공격자가 관리자 권한을 얻은 후, 12분도 안 되어 자금을 탈취했습니다.

공격의 근본 원인은 운영 보안(OpSec)의 완전한 실패에 있습니다: 다중 서명 지갑 구성의 부적절, 키 관리의 맹점, 사회 공학 방어선의 무용지물.

이 두 사건은 DeFi 안전 위기의 심층 진화를 드러냅니다: 공격의 돌파구가 전통적인 스마트 계약 코드 취약점에서 시스템적으로 구성층과 인성/OpSec층으로 이동하고 있습니다.

Manuel Aráoz는 문제의 핵심을 날카롭게 지적했습니다: "스마트 계약 보안은 본질적으로 극도로 비대칭적인 게임입니다. 방어 측은 모든 취약점을 수정해야 하지만, 공격 측은 하나만 찾아내면 자금을 탈취할 수 있습니다." AI가 공격 효율성을 기하급수적으로 강화하기 시작한 이후, 이러한 비대칭은 빠르게 불균형해지고 있습니다.

AI 코딩 에이전트는 과거에 최고 화이트 해커 팀이 수 주 동안 발견해야 했던 문제를 몇 분 내에 자동으로 해결할 수 있으며, 공개 프로토콜 코드를 기반으로 공격 스크립트를 자율적으로 생성할 수도 있습니다. OpenZeppelin이 업계에서 가장 주류인 보안 감사 회사 중 하나로서, 그 공동 창립자가 이렇게 비관적인 판단을 내린 것은 신호와도 같습니다. 즉, 보안 산업 자체가 현재의 방어 프레임워크가 시스템적 실패에 직면하고 있음을 인식하고 있다는 것입니다.

2. 규제 압력의 지속적인 확산

안전 위기가 계속 심화되는 가운데, 규제 세력도 온체인과 오프체인 두 차원에서 지속적으로 압박을 가하고 있습니다.

5월 26일, 영국 정부는 암호화폐 거래소 HTX를 러시아 제재 목록에 올리며, 처음으로 제17A 조항을 사용하여 암호 자산 거래소에 제재를 가했습니다. 영국은 HTX가 2025년에 3.3조 달러의 거래량을 처리했으며, 제재를 받은 A7 결제 네트워크 및 러시아 거래소 Garantex에 금융 서비스를 제공했다고 주장했습니다.

제재로 인한 연쇄 반응은 빠르게 확산되었고, 여러 주요 AML 회사가 HTX 거래소 주소를 위험 주소 목록에 올리면서, HTX의 AML 시스템을 사용하는 여러 거래소가 즉시 HTX 관련 주소의 거래 검토를 강화했습니다. 많은 HTX 사용자들이 자산을 다른 거래소로 인출할 때 입금되지 않는 상황이 발생했습니다.

HTX 사건은 더 깊은 딜레마를 드러냅니다: 복잡한 지정학적 구도 속에서, 규제로 인해 발동된 제재 명령이 온체인에서 계속 확산되는 연쇄 효과를 일으켜, 결국 수많은 일반 사용자의 자금 이동에 영향을 미칠 수 있습니다. 한 HTX 사용자가 완전히 무고하게 자산을 보유하고 있지만, 플랫폼의 잠재적인 규제 위험으로 인해 다른 거래소로 인출할 때 전체 AML 시스템의 "방화벽"에 의해 차단될 수 있으며, 자금이 동결되거나 무기한 지연될 수 있습니다.

실제로 HTX 사건은 규제 압력의 빙산의 일각에 불과합니다. DeFi 혁신에 깊은 제약을 가하는 것은 규제 기관이 프로토콜의 기본 비즈니스 모델에 대해 법적으로 규정하는 것입니다.

지난 2년 동안, 미국 SEC는 Compound, Uniswap, Curve 등 "블루칩" DeFi 프로토콜에 대해 조사를 시작하며, 거버넌스 토큰이 등록되지 않은 증권에 해당하는지에 대해 집중적으로 질문했습니다. 더 직접적인 타격은 수익형 토큰 분야에서 발생했습니다. SEC의 Gemini Earn 등 제품에 대한 집행 조치는 프로토콜이 사용자에게 예치금 기반의 수동 이자를 지급하는 경우, 쉽게 투자 계약으로 간주될 수 있음을 보여주며, 이는 증권법의 등록 및 공시 의무를 촉발합니다.

이러한 법적 규정의 모호함과 고압은 DeFi의 가장 상상력 있는 혁신 방향을 직접적으로 억누르고 있습니다: 유동성 채굴에서 구조적 수익 제품에 이르기까지, 개발자들은 자신의 토큰 경제 모델이 규제의 빨간선을 넘지 않을까 항상 걱정해야 합니다.

어떤 의미에서 DeFi가 처음 강조했던 "허가가 필요 없다"는 점은 점차 다른 형태의 "허가 체계"로 변모하고 있습니다. 이러한 "허가"는 특정 회사나 프로토콜에서 오는 것이 아니라, 규제 준수 체계의 모든 단계에서 발생합니다: AML 목록, 거래소 리스크 관리 엔진, 증권법의 긴팔 관할권 등입니다.

3. DeFi가 현실주의 단계에 진입하다

DeFi의 지난 몇 년의 기복을 돌아보면, DeFi의 안전 문제와 규제 압력은 독립적으로 존재하지 않습니다. 명확한 규제 프레임워크의 부족은 안전 기준을 산업 공감대로 세우기 어렵게 만들고; 안전 사건의 빈발은 다시 전 세계 규제 기관이 집행을 강화할 수 있는 가장 직접적인 이유를 제공합니다; AI 시대에 가속화된 안전 비대칭과 점차 엄격해지는 규제 기준이 결국 얽혀서 수많은 일반 사용자를 폭풍의 중심으로 밀어넣습니다.

본질적으로, 안전 감사의 경계와 규제 준수의 경직성이 DeFi가 의존하는 두 가지 핵심 가정을 지속적으로 침식하고 있습니다: "코드는 법이다"와 "허가가 필요 없는 자유"입니다.

이제 사용자는 전통 금융보다 더 높은 기술적 위험을 감수해야 하지만, 전통 금융보다 더 많은 자유를 얻지 못할 수도 있습니다. 이것이 오늘날 많은 시장 참여자들이 혼란을 느끼는 이유입니다. 그들은 DeFi가 은행처럼 안전하지도 않고, 처음 약속했던 것처럼 완전히 개방적이지도 않다는 것을 발견합니다.

그리고 시스템이 동시에 안전 프리미엄과 자유 프리미엄을 잃게 되면, 그 성장 논리는 자연스럽게 도전을 받게 됩니다. 따라서 문제는 "해커와 규제가 DeFi를 망쳤는가?"가 아닐 수 있습니다.

더 정확하게 말하자면, 해커와 규제는 단지 산업이 현실을 직시해야만 하게 만들었습니다. 해커는 사람들이 코드가 자연스럽게 신뢰를 창출하지 못한다는 것을 깨닫게 했고; 규제는 사람들이 온체인 세계가 결코 현실 세계와 분리된 평행 우주에서 운영되지 않는다는 것을 깨닫게 했습니다.

이것은 DeFi의 실패를 의미하지 않습니다. 정반대로, 이는 이 실험이 이상주의 단계에서 현실주의 단계로 진입하고 있다는 것을 의미합니다.

DeFi는 해커의 손에 망하지 않았고, 규제의 그물에 의해 망하지도 않았습니다. 그것은 두 가지 모두에 의해 재정의된 생존 법칙에 의해 형성되고 있습니다: 미래의 DeFi는 더 엄격한 산업 안전 자율 규제 및 준수 프레임워크로 나아가, 탈중앙화 원칙에 대한 타협을 강요받거나, 지속적인 공격과 방어의 불균형 속에서 점차 시장 신뢰를 잃고 장기적으로 주변화될 것입니다.