켈프다오(KelpDAO)는 공격자들이 이더리움과 아비트럼 등 여러 디파이(DeFi) 프로토콜의 포지션을 탈취해 총 2억 9,200만 달러 이상을 잃은 것으로 알려졌습니다.
온체인 조사관 잭엑스비티(ZachXBT)는 이 사건을 감지하고, 여섯 개의 공격자 지갑이 탈취된 자금을 적극적으로 이동하고 있다고 밝혔습니다.
켈프다오 해킹 사건이 발생한 경위
블록체인 데이터에 따르면, 공격자 지갑들은 도난이 시작되기 몇 시간 전 프라이버시 믹서 토네이도캐시(Tornado Cash)를 통해 초기 자금을 공급받았습니다.
이 지갑들은 이후 디파이 프로토콜과 상호작용하며, 카이버스왑(KyberSwap)과 켈프다오에서 토큰 승인 및 교환 거래를 실행한 뒤, 모든 포지션을 이더(ETH)로 전환했습니다.
“켈프다오는 이더리움과 아비트럼에서 한 시간 전 2억 8,000만 달러 이상을 도난당한 것으로 보입니다. 공격 주소들은 토네이도캐시를 통해 자금을 조달받았습니다.” – 잭엑스비티(ZachXBT), 텔레그램에서
약 한 시간 만에 공격자들은 약 7만 5,700 ETH를 한 지갑으로 모았고, 현재 시세로 약 1억 7,800만 달러에 달합니다.
나머지 도난 자산은 추가 토큰과 아비트럼 포지션이 포함되어 있습니다. 기사 작성 시점 기준, 해당 통합 지갑에서 외부로의 유출은 감지되지 않았습니다.
해킹 양상은 특정 프로토콜의 스마트컨트랙트 취약점이 아닌, 프라이빗키 유출로 인한 사고로 추정됩니다.
피해자는 양 체인에 걸쳐 상당한 디파이 노출을 보유하고 있었으며, 공격자는 그 포지션을 체계적으로 출금 및 교환해 ETH로 전환했습니다.
고래를 겨냥한 공격의 증가
이번 사건은 고액 보유자를 노린 피싱 및 사회공학적 공격의 급증 이후 발생했습니다.
2026년 1월 한 달 동안, 한 명의 피싱 피해자가 2억 8,400만 달러를 잃었으며, 이 금액은 해당 달 암호화폐 도난 전체 손실의 70% 이상을 차지했습니다.
이번 사건이 2억 9,200만 달러로 확인된다면, 역대 최대 규모의 단일 지갑 유출 중 하나로 기록될 것입니다.
보안 분석가들이 몇 시간 내로 더 깊은 온체인 분석을 발표할 것으로 예상됩니다.
켈프다오는 아직 공식적으로 이번 사건에 대해 입장을 밝히지 않았으며, BeInCrypto의 논평 요청에도 즉각 응답하지 않았습니다.
한편, 솔라나 밈코인 론치패드 펌프펀(Pump.fun)의 인스타그램 계정도 유출된 정황이 보도되고 있습니다.
“공식 펌프펀 인스타그램 계정에서 올라오는 모든 게시글을 신뢰하지 마십시오. 계정이 안전하게 복구될 때까지 모든 게시글을 무시해주십시오.” – 펌프펀 팀
그럼에도 펌프펀 플랫폼은 정상 운영 중이며, 사용자 자금은 안전합니다.
