탈중앙화 금융 프로토콜 Aave의 유동성 복원
Aave는 최근 $300 백만 규모의 크로스 체인 해킹 사건 이후 대출 풀의 유동성을 완전히 복원했다고 발표했습니다. DeFi(탈중앙화 금융)의 선구자인 Aave는 개발자들이 6월 1일 발표한 바와 같이, 프로토콜의 현금 보유고를 위협했던 이 해킹 사건 이후 몇 주간의 공격적인 안정화 노력을 통해 대출 풀의 유동성을 성공적으로 회복했습니다.
해킹 사건의 경과
Aave는 사후 분석에서 $300 백만의 산업 전반에 걸친 구호 기금을 동원하고 긴급 연방 법원 명령을 확보함으로써 소진된 자산을 대체하고 예금자를 손실로부터 보호하며 프로토콜 전반에 걸쳐 정상적인 대출 및 차입 운영을 복원할 수 있었다고 밝혔습니다. 사후 분석 보고서는 공격자가 Kelp와 Layerzero가 운영하는 제3자 브리지를 악용한 지 한 달 이상 지난 후에 공개되었습니다.
“해커는 크로스 체인 메시지를 조작하여 116,500개의 위조된 rsETH 토큰을 발행하고 이를 Aave의 V3 플랫폼에 담보로 예치했습니다.”
공격자는 즉시 위조된 rsETH를 담보로 사용하여 82,650개의 래핑 이더리움(WETH)과 821개의 래핑 스테이킹 이더리움(wstETH)을 인출했습니다. 갑작스러운 대규모 인출은 Aave의 핵심 유동성 풀을 구조적으로 약화시켰고, 리스크 관리자는 플랫폼 자본에 대한 연쇄적인 인출을 방지하기 위해 영향을 받은 시장을 동결해야 했습니다.
유동성 복원을 위한 노력
Aave Labs는 Lido, Ether.fi, Ethena 및 Compound를 포함한 주요 산업 플레이어들의 긴급 연합을 동원하는 데 도움을 주었습니다. 이 그룹은 함께 $300 백만의 회복 기금을 구조화했습니다. 이 자본 주입은 손상된 rsETH 자산을 효과적으로 지원하여 모든 사용자 예금의 달러가 진정한 준비금으로 완전히 담보되도록 보장했습니다.
그러나 유동성을 복원하는 과정은 5월 1일에 법적 장애물에 직면했습니다. 관련 없는 연방 사건의 판결로 채권자들이 회복 과정을 가로막았습니다. 채권자들은 공격자로부터 회수된 약 $71 백만의 이더리움을 동결하는 금지 명령을 받았습니다. Aave는 5월 4일 미국 연방 법원에 긴급 신청을 제출했고, 4일 후 판사는 동결에 대한 중요한 수정을 승인하여 $71 백만을 Aave의 직접 관리로 즉시 이체할 수 있도록 허가했습니다.
향후 리스크 관리 방안
이 법적 돌파구는 개발자들이 자금을 프로토콜의 활성 대출 풀로 즉시 라우팅할 수 있게 하여 안전한 시장 운영에 필요한 유동성 깊이를 복원할 수 있게 했습니다. 자본 준비금이 완전히 보충되고 사전 해킹 시장 매개변수가 복원됨에 따라 Aave는 향후 제3자 시스템 실패로부터 유동성을 보호하기 위해 리스크 아키텍처를 개편하고 있습니다.
향후 공격자가 해킹된 토큰을 유동성 프로토콜 자산으로 전환하는 것을 방지하기 위해 Aave 개발자들은 168개의 개별 자산 풀에서 차입 및 공급 한도를 대폭 축소하는 295개의 개별 매개변수 업데이트를 실행했습니다. 또한 프로토콜은 자동화된 LTV0(대출-가치 비율 0) 서킷 브레이커를 구현하고 있습니다.
“앞으로 어떤 자산의 기본 크로스 체인 인프라가 보안 위반을 경험할 경우, 시스템은 즉시 해당 자산의 담보 가치를 제거할 것입니다.”
이는 손상된 토큰이 더 이상 Aave의 시장에서 진정한 유동성을 차입하거나 소진하는 데 사용될 수 없도록 보장합니다. 공격자는 2026년 4월 18일 KelpDAO의 rsETH 유동성 재스테이킹 토큰의 취약점을 악용하여 약 $280를 소진한 것으로 알려졌습니다.
