DeFi 시장은 2026년 3~5월에 두 가지 큰 이벤트를 겪었어요. 3월 30일 Aave V4가 이더리움 메인넷에 정식 출시되며 허브 앤 스포크(Hub-and-Spoke) 모듈러 구조를 도입했고, 4월 18일 KelpDAO 브릿지가 2.92억 달러 익스플로잇 공격을 받으며 DeFi 섹터 전체에서 130억 달러 TVL이 유출됐어요. 두 이벤트는 정반대 방향이지만 같은 주제(DeFi composability 리스크)를 다른 각도에서 조명한 사례예요. 이번 글은 Aave V4 구조·KelpDAO 사고 분석·5월 DeFi 회복 흐름·composability 리스크 정리까지 다룬 정보 글이에요.
이 글은 2026년 5월 22일 기준 Aave Governance·CoinPedia·The Defiant·DefiLlama 데이터 기반 정보 글이에요. 매매 권유 글이 아니고 DeFi 프로토콜 사용·자산 예치 결정은 본인 책임이라는 점, 익스플로잇 위험은 모든 DeFi 프로토콜에 잠재한다는 점, 보안 감사를 통과한 프로토콜도 신규 익스플로잇 벡터가 발견될 수 있다는 점을 먼저 짚고 시작해요. 5월 18일 발행한 MEV 서처 프라이빗 멤풀 Glamsterdam ePBS 가이드와 함께 보면 DeFi 보안 구조를 입체적으로 이해할 수 있어요.
Aave V4 3월 30일 메인넷 출시 사실관계
Aave V4는 2026년 3월 30일 이더리움 메인넷에 정식 출시됐어요. 약 1년 반 동안의 개발·감사·테스트넷 검증 끝에 V3 → V4 메이저 업그레이드가 완료된 시점이에요.
Aave V4 출시 핵심 데이터
| 항목 | 내용 |
|---|---|
| 정식 출시일 | 2026년 3월 30일 |
| 출시 체인 | 이더리움 메인넷 (1차) |
| 핵심 구조 | 허브 앤 스포크 (Hub-and-Spoke) |
| 초기 지원 자산 | USDT·USDC·EURC·XAUt·cbBTC·frxUSD·USDG + Lido·EtherFi·Kelp·Ethena·Lombard |
| 신규 기능 | 고정금리 대출·RWA 담보·모듈형 시장 |
| 출시 시점 Aave TVL | 약 238억 달러 (DeFi 대출 60~67% 점유) |
| 5월 22일 Aave TVL | 약 195억 달러 (KelpDAO 사고 후 -18%) |
V3에서 V4로의 변화는 단순 기능 추가가 아니라 아키텍처 자체의 변화예요. V3가 단일 풀(monolithic pool) 구조였다면 V4는 중앙 허브(liquidity hub) + 독립 스포크(spoke market) 구조로 자본 효율성과 리스크 격리를 동시에 추구해요.
허브 앤 스포크 모듈러 구조
V4의 핵심 차별점인 허브 앤 스포크 구조를 풀어서 정리하면 다음과 같아요.
허브 앤 스포크 구조 핵심
- 허브 (Hub): 모든 유동성이 모이는 중앙 풀. 자본 효율성 최대화
- 스포크 (Spoke): 독립적인 대출 시장. 자체 리스크 설정·이자율·청산 비율
- 격리된 리스크: 한 스포크에서 사고 발생 시 다른 스포크·허브로 전파되지 않음
- 공유 유동성: 모든 스포크가 허브의 유동성을 활용
V3 vs V4 구조 비교
| 항목 | V3 (단일 풀) | V4 (허브 앤 스포크) |
|---|---|---|
| 유동성 구조 | 자산별 단일 풀 | 중앙 허브 + 독립 스포크 |
| 자본 효율성 | 보통 | 매우 높음 |
| 리스크 격리 | 부분적 (eMode) | 완전 격리 |
| 신규 자산 추가 | 거버넌스 + 코드 업그레이드 | 거버넌스 + 신규 스포크 생성 |
| RWA 담보 지원 | 제한적 | 네이티브 지원 |
| 고정금리 대출 | 부분 (V3.2) | 네이티브 지원 |
허브 앤 스포크 구조의 장점은 신규 시장(스포크)을 빠르게 추가할 수 있다는 점이에요. 토큰화 미국채(BUIDL·USDY) 같은 RWA 자산도 별도 스포크로 운영해서 기존 크립토 자산과 리스크를 분리할 수 있어요. 단점은 구조가 복잡해져서 사용자가 자신이 어떤 스포크에 예치했는지 정확히 이해해야 한다는 점이에요.
투자 정보 안내
본 글은 미국 주식·ETF에 대한 객관 데이터·시뮬레이션 정보이며, 특정 종목 매수·매도 권유가 아닙니다. 환율·세금·시장 변동 리스크가 있어 본인 판단과 전문가 상담 후 결정하세요.
KelpDAO 4월 18일 2.92억 익스플로잇 사고
KelpDAO는 EigenLayer 기반 리스테이킹 프로토콜로 5월 22일 기준 TVL 약 25억 달러 규모예요. 4월 18일 브릿지 컨트랙트 익스플로잇으로 약 2.92억 달러가 유출됐어요.
KelpDAO 익스플로잇 사고 핵심 사실
| 항목 | 데이터 |
|---|---|
| 사고 일자 | 2026년 4월 18일 |
| 익스플로잇 대상 | KelpDAO Cross-Chain Bridge 컨트랙트 |
| 유출 금액 | 약 2.92억 달러 |
| 공격 벡터 | Signature Verification Bypass (서명 검증 우회) |
| 사고 후 KelpDAO TVL | -45% (약 45억 → 25억) |
| DeFi 전체 TVL 영향 | -130억 달러 (composability 충격) |
| 책임자·보상 | 사고 후 6주째 협상 진행 중 |
브릿지 익스플로잇은 DeFi에서 가장 빈번한 공격 벡터예요. 2022년 Ronin($625M), 2022년 Wormhole($325M), 2023년 Multichain($126M)에 이어 KelpDAO도 같은 패턴의 사고를 겪었어요. 서명 검증 로직 구현이 취약하면 공격자가 위조 서명으로 브릿지 자산을 인출할 수 있는 구조적 약점이 반복되고 있어요.
130억 달러 composability 충격
KelpDAO 사고의 직접 손실은 2.92억 달러였지만 DeFi 섹터 전체 TVL 유출은 130억 달러로 직접 손실의 약 44배에 달했어요. composability(연결성) 리스크가 시장 전체에 전파된 사례예요.
composability 충격 전파 경로
- 1단계: KelpDAO 브릿지 익스플로잇 ($292M 직접 손실)
- 2단계: KelpDAO 예치자 -45% 인출 (~$20억 빠짐)
- 3단계: KelpDAO에 LP 제공한 EigenLayer·Pendle·Curve 풀 -15~25% 인출
- 4단계: 일반 사용자 DeFi 신뢰도 하락 → Aave·Compound·Spark 5~10% 인출
- 5단계: DeFi 섹터 알트(LDO·MKR·UNI) 토큰 가격 -10~20% 하락
- 총합: 약 130억 달러 TVL 유출 (직접 손실의 44배)
composability 리스크는 DeFi의 핵심 장점(레고처럼 조합 가능)이자 동시에 핵심 약점이에요. 한 프로토콜의 사고가 그 프로토콜을 사용하는 모든 상위 프로토콜에 전파되는 구조적 취약성이 있어요. KelpDAO 사고는 2026년 들어 가장 큰 단일 익스플로잇 사례로 기록됐어요.
5월 DeFi 회복 흐름과 4가지 신호
5월 22일 기준 DeFi 섹터는 KelpDAO 사고에서 부분 회복 중이지만 완전 회복까지는 거리가 있어요. 회복 흐름을 보여주는 4가지 신호를 정리했어요.
5월 DeFi 회복 신호 4가지
- 신호 1 — Aave V4 채택 가속: V4 출시 후 2개월 만에 TVL 약 38억 달러 도달 (V3 동일 기간 대비 +120%)
- 신호 2 — Uniswap 수수료 스위치 활성화: 거버넌스 통과 후 5월 첫 적용, UNI 보유자 수수료 분배 시작
- 신호 3 — LDO 자사주 매입: 5월 6일 Lido DAO가 LDO 토큰 매입 프로그램 시작 (월 평균 $5M 규모)
- 신호 4 — Sky USDS 공급 두 배 진행: 4월 50억 → 5월 80억 달러로 +60% 증가 흐름
이 4가지 신호는 KelpDAO 사고에도 불구하고 메이저 DeFi 프로토콜이 자체 비즈니스 모델을 강화하고 있음을 보여줘요. 단 신규 자금 유입은 사고 전 수준까지는 회복하지 못한 상태예요. DeFi 전체 TVL은 사고 전 약 1,250억 달러에서 5월 22일 약 1,120억 달러로 약 -10% 수준의 격차가 남아 있어요.
투자 정보 안내
본 글은 미국 주식·ETF에 대한 객관 데이터·시뮬레이션 정보이며, 특정 종목 매수·매도 권유가 아닙니다. 환율·세금·시장 변동 리스크가 있어 본인 판단과 전문가 상담 후 결정하세요.
DeFi composability 리스크 관리 4가지 원칙
KelpDAO 사고에서 배울 수 있는 DeFi 리스크 관리 원칙은 4가지로 정리할 수 있어요.
composability 리스크 관리 4가지 원칙
- 프로토콜 분산: 단일 프로토콜에 자산의 50%+ 집중 금지. 3~5개 프로토콜로 분산
- 체인 분산: 한 체인(이더리움) 의존도 70%+ 회피. L2·솔라나·기타 체인으로 분산
- 레이어 수준 점검: 1차 프로토콜만이 아니라 2차·3차 의존 프로토콜까지 추적 (예: Pendle에 예치하면 그 Pendle이 사용하는 LST·LRT까지 점검)
- 보험 활용 검토: Nexus Mutual·Sherlock·Risk Harbor 같은 DeFi 보험으로 일부 자산 커버 (보험료 연 1~3%)
이 4가지 원칙을 모두 적용한다고 익스플로잇 위험이 0이 되지는 않아요. DeFi는 본질적으로 스마트 컨트랙트 코드 위험·브릿지 위험·오라클 위험·거버넌스 위험을 안고 있어요. 본인이 감당할 수 있는 손실 한도 안에서만 DeFi 자산을 운영하는 게 핵심이에요.
DeFi 보험 시장 5월 흐름
KelpDAO 사고 이후 DeFi 보험 시장은 빠르게 활성화되고 있어요. Nexus Mutual·Sherlock·Risk Harbor 3대 보험 프로토콜의 5월 보장 규모와 보험료 흐름을 정리했어요.
3대 DeFi 보험 프로토콜 5월 22일 데이터
| 프로토콜 | 총 보장 규모 | 평균 연 보험료 | 주 보장 대상 | 사고 후 변화 |
|---|---|---|---|---|
| Nexus Mutual | 약 $4.2억 | 약 1.5~3% | 스마트 컨트랙트 익스플로잇 | KelpDAO 사고 후 보장 신청 +210% |
| Sherlock | 약 $1.8억 | 약 2.0~4% | 감사·코드 익스플로잇 | 보장 신청 +180% |
| Risk Harbor | 약 $9천만 | 약 1.0~2.5% | 스테이블코인 디페그 | KelpDAO 미보장 (구조 차이) |
KelpDAO 익스플로잇 시점 Nexus Mutual에 가입한 사용자 약 1,500명이 평균 $50~$200 보상을 받은 것으로 알려졌어요. 보험료는 자산 가치 대비 연 1.5~3% 수준이라 대형 자산 보유자에게는 합리적인 위험 회피 수단이에요. 단 보험사 자체의 지급 능력 위험도 있어 보험 가입이 100% 보호를 의미하지 않아요.
자주 묻는 질문
Q: Aave V4 출시 후 V3는 어떻게 되나요?
A: V3는 V4와 병행 운영돼요. Aave 거버넌스는 V3 사용자가 V4로 강제 이전되지 않도록 결정했어요. 사용자가 직접 V4로 자산을 이전할지 선택할 수 있어요. 단 V3는 향후 신규 기능 업그레이드가 제한적이고 V4가 자본 효율성·기능 측면에서 우월하기 때문에 시간이 흐를수록 V4 비중이 자연스럽게 늘어날 것으로 보여요. V3의 단계적 deprecate는 6개월~1년 후 거버넌스 결정 예정이에요.
Q: KelpDAO 익스플로잇 피해자에게 보상이 있나요?
A: 5월 22일 기준 협상 진행 중이에요. KelpDAO는 자체 트레저리(약 $30M) + EigenLayer Foundation 협력으로 부분 보상 계획을 발표했지만 100% 보상은 어려운 상태예요. 평균 보상 비율은 3050% 수준으로 추정되고 있어요. Nexus Mutual 같은 DeFi 보험에 가입한 피해자는 추가 보상을 받을 수 있어요. 최종 보상 계획은 67월 거버넌스 투표로 확정될 가능성이 커요.
Q: 허브 앤 스포크 구조가 더 안전한가요?
A: 부분적으로 안전해요. 스포크별로 리스크가 격리되기 때문에 한 스포크의 사고가 다른 스포크·허브로 전파되지 않아요. 단 허브 자체에 익스플로잇이 발생하면 모든 스포크가 영향을 받는 구조적 위험은 여전히 있어요. V4의 보안 감사는 OpenZeppelin·Certora·SigmaPrime 등 3개 기관에서 진행됐지만 익스플로잇 위험이 0이라고 단정할 수는 없어요.
Q: 5월 DeFi TVL이 -10% 줄어든 게 큰 규모인가요?
A: 절대 규모로는 작지 않은 편이에요. 130억 달러 유출은 2022년 LUNA 사태 직후 약 300억 달러 유출 이후 가장 큰 규모예요. 단 4월 18일 사고 직후 -15~-20% 수준까지 빠졌다가 5월 들어 일부 회복한 흐름이라는 점은 긍정적이에요. DeFi 시장의 회복 탄력성이 2022년보다 개선됐다는 평가가 가능해요.
Q: composability 리스크를 완전히 회피할 수 있는 DeFi 사용법이 있나요?
A: 완전 회피는 불가능에 가까워요. 단일 프로토콜(예: Aave·Compound)에만 자산을 예치해도 그 프로토콜이 의존하는 오라클·체인·스마트 컨트랙트 위험은 남아요. 가장 보수적인 접근은 자산의 70%+를 CEX 또는 셀프 커스터디(콜드 월렛)로 보관하고 DeFi에는 30% 이하만 운영하는 거예요. 단 이 비율도 본인의 위험 감수 성향에 따라 조정이 필요해요.
Q: 일반 사용자가 Aave V4를 직접 사용해도 안전한가요?
A: 기술적으로는 가능하지만 V4 구조가 V3보다 복잡해서 신중한 접근이 필요해요. 본인이 어떤 스포크에 예치하는지·그 스포크의 리스크 설정·청산 비율·이자율 모델을 모두 이해해야 해요. 처음 사용 시에는 소액(예: $100~$1,000)으로 테스트 후 점진적으로 늘리는 게 안전해요. Aave 공식 문서·DeFi Llama·각 스포크의 거버넌스 페이지를 미리 확인하는 게 좋아요.
참고 자료
- Aave Governance "Aave V4 Launch Roadmap" (2026)
- CoinPedia "Aave V4 Goes Live on Ethereum Mainnet With New Lending Architecture" (2026-03)
- The Defiant "Aave V4 Launches on Ethereum Mainnet" (2026-03)
- DefiLlama Aave TVL & Total DeFi TVL 데이터 (2026-05-22)
- KelpDAO 사고 보고서 및 EigenLayer Foundation 협력 발표 (2026-04~05)
본 콘텐츠는 정보 제공 목적이며 투자 권유가 아닙니다. DeFi 프로토콜 사용·자산 예치·청산 위험·익스플로잇 위험은 본인 책임입니다. 스마트 컨트랙트·브릿지·오라클 위험은 빠르게 변할 수 있어 자산 예치 전 본인 환경에서 충분한 검증을 거치기 바랍니다.