KelpDAO는 2억 9200만 달러 규모의 크로스체인 브리지 공격을 받았으며, 리스크 Aave로 확산되어 48시간 만에 DeFi에 예치된 자산의 총 가치가 130억 달러나 증발했습니다.
만약 USDC를 머니마켓에 예치하고 5%의 수익률만 얻는다면, 진정한 핵심 문제는 DeFi에 리스크 따르는지 여부가 아니라, 수익률이 감수한 리스크 상응하는지 여부입니다.
이 글에서는 채권 가격 결정 논리를 이용하여 이 문제를 분석할 것입니다.
2주 전, 공격자들이 KelpDAO에서 2억 9200만 달러를 훔쳐갔습니다. 도난당한 rsETH는 이후 담보로 Aave V3에 다시 예치되었고, 이로 인해 Aave는 약 1억 9600만 달러의 부실채권을 직접적으로 부담하게 되었습니다. 단 3일 만에 Aave에 예치된 자산의 총 가치는 264억 달러에서 179억 달러로 급락했습니다.
2주 전, 솔라나 생태계의 일부인 드리프트 프로토콜(Drift Protocol)은 북한 해커들의 소셜 엔지니어링 공격으로 관리자 개인 키가 탈취되어 2억 8,500만 달러의 손실을 입었습니다. 이 공격은 2025년 가을부터 계획된 것으로 알려졌습니다.
불과 3주 간격으로 발생한 두 건의 주요 보안 사고로 총 5억 7,700만 달러의 손실이 발생했습니다. Aave의 USDC 대출 시장에서 발생한 리스크 으로 인해 이용률은 4일 연속 99.87%에 달했고, 예금 금리는 12.4%까지 치솟았습니다. Circle의 수석 경제학자인 고든 랴오는 인출 수요를 완화하기 위해 대출 한도를 4배로 늘리는 지배구조 개선안을 제안하기도 했습니다.
한 달 전만 해도 대량 사용자들이 탈중앙화 금융(DeFi) 통화 시장에 스테이블코인을 예치하여 연평균 4~6%의 수익률만 얻었습니다.
이제 모두가 핵심 질문에 직면해야 합니다. 과연 이러한 수익률 기반 가격 책정 방식 자체가 합리적인 것일까요? 켈프DAO 사태 몇 주 전, 산티아고 R 산토스는 블록웍스 팟캐스트에서 이 질문을 제기했습니다. "디파이(DeFi)에서 우리는 오랫동안 높은 리스크 감수해 왔지만, 그에 상응하는 적절한 리스크 을 받은 적은 없습니다. 앞으로 다양한 자산에 대한 합리적인 리스크 스프레드를 재정의해야 합니다."
모든 회사채의 수익률은 여러 단계 리스크 보상으로 구성됩니다. 핵심 가격 결정 공식은 다음과 같습니다.
• 수익률 = 위험보상비율 + [PD x LGD] + 리스크 프리미엄 + 유동성프리미엄
Rf는 동일한 듀레이션을 가진 미국 국채 수익률을 기준으로 한 제로 리스크 이자율입니다.
PD × LGD는 예상 손실 = 채무 불이행 확률 × 채무 불이행으로 인한 손실을 나타내며, 여기서 채무 불이행으로 인한 손실 = 1 - 자산 회수율입니다. 리스크 프리미엄은 예상 손실 외의 불확실성을 보상합니다. 두 자산의 PD와 LGD가 동일하더라도 리스크 결과의 변동 범위가 다르면 가격도 달라집니다. 유동성 프리미엄은 자산을 할인된 가격에 매각하거나 포지션 청산할 때 발생하는 추가 비용을 의미합니다.
무디스는 1920년 이후 장기적인 역사적 데이터를 바탕으로 다음과 같은 기준치를 참고 자료로 사용합니다.
• 미국 투기등급 채권의 장기 연평균 디폴트율은 4.5%이며, 최근 12개월 평균은 3.2%입니다. 2026년 1분기에는 4.1%까지 상승할 것으로 예상됩니다.
• 고위험 무담보 고수익 채권의 역사적 평균 회수율은 약 40%이며, 이는 약 60%의 채무 불이행 손실률에 해당합니다.
• 고수익 채권의 장기 연평균 예상 손실률: 4.5% × 60% = 2.7%;
private equity 대출 부문에서 KBRA는 2026년 직접 대출의 부도율을 3.0%로 예측하며, 2023~2024년 부도 건에 대한 평균 회수율은 약 48%에 이를 것으로 전망합니다.
• 고위험 담보 레버리지론의 과거 회수율은 65%에서 75% 사이입니다.
현재 데이터를 살펴보겠습니다. 지난 수요일 미국 10년 만기 국채 수익률은 4.29%로 마감했습니다. 또한 ICE 뱅크 오브 아메리카 올 트러스트 상품 옵션의 2026년 4월 만기 조정 스프레드도 추출했습니다.
가격 결정 논리는 명확하고 상식에 부합합니다. 국채, 투자 등급 채권, 투기 등급 채권부터 서브프라임 상업용 부동산 자산에 이르기까지 자본 등급 전반에 걸쳐 수익률은 채무 불이행 가능성 증가와 손실 규모 확대를 보상하기 위해 함께 상승합니다.
private equity 직접 대출 수익률이 약 9%에 머무르는 이유는 차입자의 채무 불이행률이 높아서가 아니라, 비표준 private equity 자산의 유동성이 극히 낮고 유동성 프리미엄이 상당히 높기 때문입니다.
반면, DeFi 시장을 살펴보면 KelpDAO 사태 이전 Aave의 USDC 예치 금리는 약 5.5%로, 투자 등급 채권과 B급 고수익 채권 사이의 수준이었습니다. 한편, 엄선된 자산 보관소와 적극적인 관리 선별을 통해 약 10.4%의 수익률을 제공했던 Morpho도 있었습니다. 이 두 수치는 동일한 잠재적 리스크 동시에 정확하게 반영한다고 볼 수 없습니다.
기존의 채무 불이행 처리 절차는 지루하고 번거롭습니다. 차입자가 이자를 지급하지 못하면 채권자는 채무 상환 가속화 조항을 발동하고, 기업은 구조조정을 거치며, 자산은 청산 및 처분되고, 자산 회수를 위한 협상이 진행됩니다. 이는 길고 협상이 필요한 과정입니다.
하지만 DeFi에는 채무 구조조정 메커니즘이 부족하며, 주요 위협은 프로토콜 공격에서 비롯됩니다. 이러한 프로토콜 공격은 완전히 다른 세 가지 실패 유형으로 나뉘며, 각 유형은 고유한 손실 특성을 지닙니다.
재진입 공격, 잘못된 인자 검사, 권한 제어 부족과 같은 코드 취약점은 암호화폐 탈취로 이어질 수 있습니다. 공격자는 암호화폐 풀을 직접적으로 고갈시킬 수 있습니다. 과거 데이터에 따르면 화이트햇 해커가 관련된 프로토콜 공격의 평균 복구율은 5%~15%에 불과하며, 북한과 같은 국가급 해킹 그룹이 관련된 경우에는 복구율이 사실상 0%에 가깝습니다.
2021년 폴리 네트워크에서 도난당한 6억 1100만 달러가 전액 반환된 것은 극단적인 사례였으며, 로닌에서 도난당한 6억 2500만 달러와 웜홀에서 도난당한 3억 2500만 달러는 시장 기반 자산 회수가 아닌 프로젝트 팀과 MM (Market Making) 손실을 자체적으로 부담함으로써 최종적으로 전액 회수되었으며, 사실상 주주 보상에 해당했습니다.
유동성이 낮은 탈 탈중앙화 거래 풀을 통한 악의적인 가격 조작은 인위적으로 부실채권을 발생시킬 수 있으며, 공격자는 거버넌스 토큰을 축적하고 악의적인 안건을 통과시켜 공적 자금을 빼돌릴 수도 있습니다. 2022년 Beanstalk이 거버넌스 공격으로 입은 1억 8,200만 달러의 손실이 대표적인 리스크 입니다. 프로토콜 개입을 통해 일부 손실을 완화할 수 있지만, 대출자가 보유한 자산과 채권 종종 가치를 잃은 토큰 포지션 로 전락합니다.
KelpDAO 사건은 이러한 범주에 속하며, 가장 위험하고 감사 감사 어려운 리스크 모델을 나타냅니다. 프로토콜 A는 리퀴드 스테이킹/ 리스테이킹 (Restaking) 파생상품을 발행하고, 프로토콜 B는 해당 자산을 담보로 수락하며, 프로토콜 C는 크로스체인 자산 연결 및 전송을 담당합니다.
체인의 어느 한 링크에 대한 공격은 하위 모든 포지션 의 연쇄 붕괴를 초래할 것입니다. 공격자는 Aave 자체를 손상시킬 필요 없이, 상위 rsETH 프로토콜을 침해하는 것만으로도 Aave 대출자들이 막대한 부실 채권을 떠안게 만들 수 있습니다.
이 세 가지 유형 리스크 공통적인 특징을 공유하는데, 이는 또한 DeFi와 전통적인 신용 시장의 핵심적인 차이점이기도 합니다. 즉, 리스크 발생은 분기 단위가 아닌 단 몇 분 만에 일어납니다. 계약 협상도 없고, 손실을 충당하기 위한 파산 융자 도 없습니다. 스마트 계약은 자동으로 실행되며, 코드가 모든 것을 좌우합니다. 코드에 취약점이 발견되면 손실은 거의 완전히 복구 불가능합니다. Aave V3의 rsETH 부실채권은 불과 4시간 만에 0에서 1억 9,600만 달러로 급증했습니다. 이와 대조적으로, BB 등급의 전통적인 고수익 채권에서 리스크 경고부터 채무 구조조정까지의 평균 주기는 14개월에 달합니다.
2025년 12월에 발표된 체인애널리시스의 상반기 보고서는 상반된 데이터를 보여주었습니다. 2024년 초부터 2025년 10월까지 DeFi에 예치된 총 가치는 400억 달러에서 1,750억 달러로 반등했지만, DeFi 관련 해킹 공격으로 인한 손실은 2023년의 낮은 수준에 머물렀습니다.
2025년에는 도난당한 암호화폐 자산의 총액이 34억 달러에 달할 것으로 예상되며, 특히 중앙 집중식 거래 플랫폼과 개인 지갑 도난에 리스크 집중될 것으로 전망됩니다.
이 데이터만 보면 DeFi 보안이 지속적으로 개선되고 있다고 오해하기 쉽습니다. 하지만 객관적인 사실도 존재합니다. 계약 감사 산업은 성숙 단계에 접어들었고, Immunefi와 같은 버그 바운티 플랫폼은 1,000억 달러 이상의 사용자 자산을 보호하고 있으며, 크로스체인 브리지는 타임락과 다자간 검증 메커니즘을 점진적으로 도입하고 있습니다.
하지만 2026년의 현실은 완전히 정반대였습니다. Drift는 4월 1일에 2억 8,500만 달러의 손실을 입었고, KelpDAO는 4월 18일에 2억 9,200만 달러의 손실을 입었습니다. 18일 만에 발생한 두 건의 대규모 금융 위기는 대출 프로토콜 자체보다는 구성 가능성 취약점을 겨냥한 것이었습니다.
연평균 예치 자산을 기준으로 최근 몇 년간 DeFi의 연간 손실률은 다음과 같이 계산되었습니다.
• 2024년: DeFi 관련 손실액은 약 5억 달러에 달했으며, 평균 예치 자산 가치는 750억 달러였습니다. → 연간 손실률은 0.67%입니다.
• 2025년: 약 6억 달러 손실, 평균 확정 가치 1,200억 달러 → 연간 손실률 0.50%
• 2026년(연간 계산): 2분기에 발생한 두 건의 사건으로 인한 손실액은 5억 7,700만 달러에 달했으며, 평균 확정 손실액은 950억 달러입니다. → 리스크 패턴이 지속될 경우, 연간 손실률은 2.0%~2.5%에 이를 것으로 예상됩니다.
이 계산에 따르면 주요 DeFi 대출 업무 의 연간 부도 확률은 약 1.5%~2.0%입니다. 극단적인 공격 상황에서 90%의 부도 손실률(외부 지원이 없을 경우 도난당한 토큰의 일반적인 회수율은 5%~15%에 불과함)을 고려하면 연간 예상 손실률은 1.35%~1.80%에 달합니다. 이 수치는 전통적인 고수익 채권의 손실률을 상회하며, 불확실성 프리미엄, 유동성 할인, 규제 리스크 또는 크로스체인 전염 리스크 아직 반영되지 않았습니다.
채권 가격 결정 논리를 기반으로 주요 DeFi 스테이블코인 예치금의 적정 수익률을 계산했습니다. 벤치마킹 기준으로는 주요 이더 메인넷 프로토콜(Aave, Compound), 완전 초과담보, 그리고 개인 투자자 및 정량적 차입자를 대상으로 하는 USDC 대출 상품을 사용했습니다.
10년 만기 국채 수익률 기준치를 상향 조정하여 적정 가치 수익률을 산출합니다.
10년 만기 미국국채 기준으로 프리미엄을 단계적으로 추가합니다.
• 제로 리스크 기준 수익률(미국국채): +4.30%
• 예상 고정 손실: +1.50%
오라클 조작 리스크 프리미엄: +0.75%
• 거버넌스/관리자 개인 키 리스크 프리미엄: +1.00%
• 계약 간 포트폴리오 연쇄 리스크(켈프 유사 리스크): +1.25%
• 규제 비대칭 리스크 프리미엄: +1.25%
• 스테이블코인 꼬리 리스크: +0.50%
• 자산 유동성 프리미엄: +0.50%
• 리스크 프리미엄: +1.50%
최종적으로 공정하고 합리적인 연간 수익률은 12.55%입니다.
따라서 이상적으로는 주요 규정 준수 DeFi 스테이블코인 예치금에 대한 적정 이자율은 13%보다 낮아서는 안 됩니다. 보험 보장 및 프로토콜 준비금이 안전망으로 작용하는 자산의 경우 이자율을 적절히 낮출 수 있습니다. 반면, 장기적인 특성을 가진 프로토콜, 신규 시장, 리스테이킹 (Restaking) 및 크로스체인 기반 자산과 관련된 자산은 더 높은 리스크 프리미엄이 필요합니다.
첫째, 공정한 보상을 위해 노력해야 합니다. 만약 5%의 수익률로 USDC를 DeFi에 제공한다면, 사실상 BB 등급의 신용 리스크 가격을 수용하는 것과 마찬가지입니다. 이는 기술적 위험과 구성 가능성 리스크 측면에서 CCC 등급보다 실제로 더 높은 수준입니다. 9%에서 12% 사이의 이자율을 제공하는 Morpho 스타일의 선별형 볼트 시장은 공정한 수익률에 더 가깝지만, 운용사 선정 및 투명성 측면에서도 문제가 발생할 수 있습니다.
둘째로, 자본 구조를 개선하는 것이 매우 중요합니다. 고품질 담보(ETH, wBTC, 그리고 검증된 LST)로 확보된 과잉 대출은 오라클 중복성 및 프로토콜 수준의 보험 계층으로 보완되고 크로스체인 리스크 으로부터 자유롭기 때문에 앞서 언급한 프레임 보다 훨씬 낮은 리스크 프리미엄을 갖습니다. 이러한 자산들은 DeFi 업계에서 "투자 등급 자산"으로 분류됩니다.
셋째, 극단적 리스크 제대로 평가하는 것이 중요합니다. KelpDAO 취약점은 블랙 스완 사건이 아니라, 점점 더 취약해지는 멀티체인 아키텍처에 연결된 리스테이킹 (Restaking) 기본 요소의 예측 가능한 실패 모드였습니다. Drift의 상황도 비슷하지만 참여자가 다릅니다.
해당 회사는 2026년 2분기에 5억 7,700만 달러의 영구 손실을 기록했습니다. 5.5%의 수익률을 제공하는 DeFi 포트폴리오는 극심한 폭락과 연쇄적인 채무 불이행 사태 리스크 전혀 감당할 수 없습니다.
DeFi는 투자 불가능한 분야가 아닙니다. 다만 현재 가격이 잘못 책정되었을 뿐입니다. 기관 투자자급 투자 기회는 분명히 존재하지만, 투자자들은 합리적인 리스크 프리미엄을 요구하거나 private equity 대출의 엄격한 기준을 적용하여 개별 프로토콜에 대한 철저한 실사를 수행해야 합니다.
최상위 암호화폐 시장에 단순히 자금을 예치하고 저수익 상장을 수동적으로 수용하는 것은 제로 리스크 투자로 위장한 리스크 금리 차익거래 전략입니다.
관련 보고서
미국 재무부가 첫 번째 탈중앙화 금융(DeFi) 리스크 보고서를 발표하며 주요 규제 우선순위를 공개했습니다.
사이버보안 칼럼 | 빙산 아래의 위기: 기존 금융 위기와 DeFi의 과제 통합 분석
S&P 글로벌 2022년 글로벌 신용 전망 보고서: 탈중앙화 금융(DeFi)은 전통적인 금융 시스템을 대체하지 않을 것이다
