Aave 와 Kelp는 복구 계획이 진행됨에 따라 Arbitrum에서 악용자의 rsETH를 소각했습니다

Aave Aave X 게시물을 통해 자신과 Kelp가 5월 12일 Arbitrum에서 공격자의 rsETH 보유량을 소각했다고 밝혔으며, 이로써 기술적 복구 계획의 첫 번째 단계가 완료되었음을 확인했습니다.

rsETH 기술 복구 계획의 첫 번째 단계가 완료되었습니다. 여기에는 Arbitrum에서 공격자의 rsETH를 소각하는 작업이 포함됩니다. 향후 며칠에 걸쳐 LayerZero OFT 어댑터를 점진적으로 재충전하고 rsETH 운영을 재개할 예정입니다. https://t.co/p1tiIzp5Nr

— Aave (@aave) 2026년 5월 12일

이번 조치는 지난 4월 18일 레이어제로 브리지 공격으로 프로토콜에서 2억 9200만 달러가 유출된 이후 유통되던 마지막 남은 담보 없는 rsETH를 제거하는 것입니다.

이번 공격은 Kelp의 LayerZero 기반 Unichain과 Ethereum에 따르면, 사건dent 게시된 Aave의 거버넌스 포럼.

해당 공격 경로는 1:1 검증자 구성에 의존했는데, 이는 단일 검증자의 승인만으로 크로스체인 전송을 검증할 수 있음을 의미합니다. 공격자는 rsETH가 소스 체인에서 소각되어 Ethereum에서 담보가 없는 토큰이 방출되었다는 허위 메시지를 위조했습니다.

그 토큰들은 담보로 Aave V3 시장에 예치되었고, 이를 통해 공격자는 WETH와 wstETH로 1억 9천만 달러에서 2억 3천 6백만 달러 사이의 금액을 빌릴 수 있었습니다.

1단계 완료 항목은 무엇입니까?

이번 취약점 문제를 해결하기 위해 결성된 연합체인 DeFi United는 손실을 사회적으로 전가하지 않고 rsETH 담보를 복구하기 위해 3억 2700만 달러 이상의 ETH 약정을 모금했습니다.

기부자에는 Lido(2,500 stETH), EtherFi(5,000 ETH), LayerZero(10,000 ETH), Ethena, Mantle, Golem(1,000 ETH) 및 Aave 설립자 Stani Kulechov 개인(5,000 ETH)이 포함됩니다.

5월 9일, 미국 지방법원 판사 마가렛 가넷은 이전 자산 동결 조치를 수정하는 명령을 내렸으며, 이에 따라 아비트럼 보안위원회는 약 7,100만 달러 상당의 약 30,765 ETH를 Aave LLC가 관리하는 지갑으로 이체할 수 있게 되었습니다.

이번 판결로 5월 1일 북한 테러 관련 판결로 인해 이송이 차단되었던 가처분 명령이 해제되면서, 복구 계획 실행에 있어 마지막 법적 장애물이 제거되었습니다.

에 따르면 Cryptopolitan 보도, Aave의 DAO는 이전에 공격자가 동결한 이더리움 자금을 청산하기로 투표했으며, 1억 9천만 개의 ARB 토큰으로 뒷받침되는 투표 주소의 90%의 승인을 받았습니다.

갤럭시 디지털의 연구 부문dent 태디어스 피나키에비츠는 전체 복구 작업이 현재 약 90% 완료되었다고 밝혔습니다.

향후 2주 동안 무슨 일이 일어날까요?

Kelp는 향후 2주에 걸쳐 Aave Recovery Guardian과 Kelp Recovery Safe에서 메인넷의 LayerZero OFT 어댑터로 117,132 rsETH가 점진적으로 보충될 것이라고 밝혔습니다.

쿨레초프는 X에 "마지막 단계는 rsETH 브리지 락박스를 다시 채우는 것"이라고 적으며, 시장 정상화를 위해 rsETH를 ETH로 전환하는 인출이 24시간 이내에 시작될 것이라고 덧붙였습니다.

Aave의 총 예치 자산(TVL)은 초기 해킹 공격 이후 며칠 동안 100억 달러 이상이 유출된 후 150억 달러 이상에서 안정화되었습니다. WETH 대출 활용률은 93%, USDT는 92%, USDC는 91%를 기록하며 인출 압력이 종료되었음을 시사합니다.

이번 대응 방식이 과거 DeFi 공격과 어떻게 다른가

rsETH 복구는 이전의 주요 해킹 사건들과는 다른 경로를 밟았습니다. 로닌 브리지 공격의 경우, 6억 달러가 넘는 사용자 손실을 보상하기 위해 막대한 외부 자금 지원과 복구된 자산이 필요했습니다.

오일러 파이낸스 해킹 사건은 공격자가 협상과 여론의 압력 끝에 훔친 자금의 대부분을 반환하면서 마무리되었습니다.

Aave 와 Kelp는 어느 쪽 길도 택하지 않았습니다. 대신, 복구 작업은 부실 담보를 분리하고, 공격자의 온체인 포지션을 청산하고, 5월 12일 소각을 통해 공격자가 장악한 토큰을 유통에서 제거하고, 연합 자금으로 충전하여 브리지 인프라 내부의 준비금을 재건하는 데 집중했습니다.

또한 이는 미국 연방 법원의 개입을 극복하고 사용자 자금이 거버넌스 조정 채널을 통해 다시 유입된 최초의 주요 DeFi 취약점 복구 사례입니다.

암호화폐 분야의 최고 전문가들이 이미 저희 뉴스레터를 구독하고 있습니다. 함께하고 싶으신가요? 지금 바로 참여하세요.