5천만 달러라는 엄청난 학비

잠에서 깨어보니, BTC는 여전히 7만 달러 선을 맴돌고 있다. 어떤 이들은 6만 달러가 이번 약세장의 바닥일지도 모른다고 우려한다. 하지만 그렇게 생각하지 않는 사람들도 있다. 이기는 사람도 있고, 지는 사람도 있으며, 부자가 되는 사람도 있고, 울고 있는 사람도 있다.

매끄러운 연타 한 방에 수천만 달러가 잿더미가 되었다. 랍스터가 미친 게 아니라, 무지가 사람을 해친 것이다. 블랙 유머처럼 들리겠지만, 정작 자신에게 닥치면 정말 가슴이 찢어질 듯 아플 것이다.

지난 12일, 한 대형 투자자가 유명 대출 프로토콜 Aave의 프론트엔드 인터페이스를 통해 5,000만 USDT로 AAVE 토큰을 매수하려 시도했다. 결과는? 5,000만 달러를 투입했지만, 손에 쥔 것은 고작 324개의 AAVE뿐이었다. 가치로는 약 3만 7천 달러에 불과했다. 단 한 번의 거래로 4,996만 달러가 증발해 버렸습니다.

눈을 의심하지 마세요. 5만 달러도, 50만 달러도 아닌, 무려 5,000만 달러입니다! 사진이 모든 것을 말해줍니다:

이 소식은 암호화폐 커뮤니티를 순식간에 뜨겁게 달궜습니다.

Aave의 창립자 Stani Kulechov는 즉시 트윗을 통해 이 사실을 확인했습니다[1]. 그의 설명에 따르면, Aave 인터페이스는 모든 정상적인 거래 인터페이스와 마찬가지로 "비정상적인 슬리피지" 경고를 표시했고, 사용자에게 체크박스를 통해 확인을 요청했습니다. 사용자는 휴대폰에서 경고를 확인한 후 거래를 진행했습니다. 결국 324 AAVE만 돌려받았다[1].

CoW Swap의 라우터는 정상적으로 작동했으며, 통합 과정도 업계 표준 관행을 따랐다. 문제는 사용자가 슬리피지가 아닌, 99%에 달하는 가격 충격이 있는 호가를 수락했다는 점이다. 이는 이미 경고를 받고 확인을 한 상태에서도 발생한 일이다[2].

이 가슴 아픈 거래의 배후에 숨겨진 숫자를 살펴보겠습니다[3]:

- 차익 거래자(MEV 봇)는 이 거래에서 발생한 막대한 가격 차이를 포착하여, 약 3,700만 달러의 이익을 얻었다

- 우선 체결을 보장하기 위해, 차익 거래자는 블록 빌더(Titan Builder)에게 2,600만 달러의 뇌물을 지급했다

- 차익 거래자는 순이익으로 약 1,000만 달러를 챙겼다

반면 불운한 그 거물 투자자는 자신의 5,000만 달러가 3만 7천 달러로 줄어드는 것을 지켜볼 수밖에 없었다.

Aave는 징수한 60만 달러의 수수료를 환불하겠다고 밝혔지만, 5,000만 달러의 손실에 비하면 이는 턱없이 부족한 금액이다[3].

책임은 누구에게 있는가?

이 사건은 커뮤니티 내에서 격렬한 논쟁을 불러일으켰으며, 견해는 크게 두 가지로 나뉘었다:

한쪽은 DeFi가 중립적인 프로토콜이며, 사용자는 스스로 책임을 져야 한다고 본다. 코드가 곧 법이며, 스마트 계약은 사용자가 서명한 거래를 실행할 뿐이다. 사용자가 경고를 무시하고 강제로 확인했다면, 그 결과를 감수해야 한다.

다른 한쪽은 제품 설계에 문제가 있다고 본다. UI 인터페이스는 사용자가 경고를 쉽게 무시하고, 치명적인 손실을 초래할 거래를 실행하도록 해서는 안 된다. 체크박스 하나가 어떻게 5,000만 달러의 마지막 방어선이 될 수 있겠는가?

양측 모두 일리가 있다. 하지만 좀 더 입체적인 관점에서, 이 사건이 드러낸 몇 가지 문제점을 생각해 보자.

인지 격차

인디고(Indigo)는 트윗에서 '인지 격차'[4]라는 핵심 개념을 제시했다. 이 사용자가 거래한 것은 일반적인 AAVE가 아니라 aEthAAVE, 즉 Aave의 이자부 예금 증서였습니다. 이러한 자산은 공개 시장에서 유동성이 극히 낮습니다. 사용자는 정말 이 점을 이해하고 있었을까요? 그는 유동성이 극히 낮은 이러한 거래 쌍에 대해 슬리피지 경고가 무엇을 의미하는지 정말로 알고 있었을까요?

거의 확실합니다: 그는 몰랐습니다.

바로 여기에 문제가 있다. DeFi 인터페이스는 사용자에게 똑같은 백분율 수치와 확인 체크박스를 보여준다. 하지만 500달러 거래에서 발생하는 3% 슬리피지와 5,000만 달러 거래에서 발생하는 99.9% 슬리피지의 결과는 천양지차다. 그러나 사용자의 눈에는 이 둘이 단지 동일한 작업으로 보일 뿐이다[4].

여기서 얻을 수 있는 교훈은, 우리가 암호화폐 세계에서 어떤 작업을 수행하기 전에, 정말로 100% 확신하고 그 결과를 이해하고 있는가 하는 점이다.

때로는 무지한 자만이 두려움이 없다. 때로는 정말 어렵습니다.

실수 방지 설계

어떤 이들은 이것이 사용자 자신의 잘못이라고 말합니다. DeFi의 설계 원칙은 허가 없이 자유롭게 거래하는 것이기 때문입니다. 교체인(教链)은 이 원칙에 동의하지만, 그렇다고 해서 제품 설계상의 문제를 외면해도 된다는 뜻은 아닙니다.

교체인 역시 크로스체인 브릿지에서 거액의 자금이 묶인 적이 있습니다. 다행히 인내심을 가지고 기다린 끝에 자금이 해제되어 손실은 없었지만, 시장 기회를 놓치기도 했습니다.

DeFi의 탈중앙화와 분리라는 목표는, 프론트엔드가 온체인 프로토콜에 대해 'no warranty(보증 없음)'를 적용하는 것을 목표로 하지만, 어쩌면 사용자에게 더 많은 결과 예측과 경고를 제공하고, 운영의 예측 가능성을 높이며, 심지어 사용자가 상식에 어긋나는 작업을 수행하지 못하도록 막아야 할지도 모릅니다. 만약 사용자가 굳이 그렇게 하겠다고 고집한다면, 직접 코드를 작성하는 등 더 전문적인 방법을 찾아야 합니다.

제품의 기본 소양은 실수 방지 설계(fool-proof)입니다. 산업계에서는 이미 오래전부터, 조작 실수가 중대한 손실을 초래할 경우 문제를 단순히 조작자에게만 돌릴 수 없으며, 오히려 '왜 시스템이 이렇게 실수하기 쉬운 조작을 허용하는가?'를 성찰해야 한다는 점을 잘 알고 있습니다.

자동차 제조사는 운전자가 브레이크를 가속 페달로 밟는 것을 확인하도록 하는 체크박스를 설계하지 않습니다. 그들은 브레이크와 가속 페달을 서로 다른 위치에 배치하고, 밟는 느낌이 다르게 만들며, 심지어 오작동을 방지하는 시스템을 설치하기도 합니다.

그런데 DeFi는 어떨까요? 하나의 체크박스가 5,000만 달러를 지키는 마지막 방어선이 되어버렸습니다.

안전 가드레일

그렇다면 더 나은 가드레일은 무엇일까요? Aave 팀은 보호 조치 개선을 연구하겠다고 밝혔습니다[1]. 커뮤니티 토론을 살펴본 결과, 교체인은 적어도 다음 몇 가지를 고려해 볼 수 있다고 생각합니다[4]:

1. 슬리피지 경고에 단순히 백분율이 아닌 달러 손실액을 표시한다. 사용자가 이 거래로 인해 4,960만 달러의 손실이 발생할 수 있다는 사실을 알게 되면, 모바일에서 체크박스를 클릭할 때조차 손이 떨릴 확률이 크게 줄어들 것이다.

2. 거래 금액에 대한 상한선을 설정하고, 일정 임계값을 초과할 경우 다단계 확인 절차를 거치거나 시간 지연 기능을 도입해야 합니다.

3. UI 수준에서 현물 토큰과 이자 지급 담보 자산을 명확히 구분하여, 사용자가 무엇을 거래하고 있는지 분명히 알 수 있도록 해야 합니다.

4. 모바일 사용자 경험을 재검토해야 하며, 특히 고액 거래의 극단적인 상황에 대해 더욱 그렇다. 휴대폰 화면에서 가볍게 탭하는 체크박스가 5,000만 달러 규모의 거래를 막아내는 유일한 방어선이 되어서는 안 된다.

결국, 사용자 경험의 유동성과 사용자 조작의 안전성이라는 두 측면 사이에는 구조적인 내재적 모순이 존재한다. 두 마리 토끼를 다 잡을 수는 없으니, 균형을 맞출 수밖에 없다.

MEV의 그림자

이 불행한 사건의 이면에서 그림자 속에 숨어 비웃고 있는 것은, 결코 간과할 수 없는 참여자인 MEV 봇이다.

비록 당신이 모든 거래를 신중하게 확인했다 하더라도, 당신의 대규모 거래가 멤풀(거래 메모리 풀)에 들어가는 순간, 차익 거래자들은 당신을 저격할 방법을 찾게 된다. 그들은 당신보다 먼저 매수하여 당신의 체결 가격을 더 나쁘게 만든 다음, 즉시 매도하여 차익을 실현합니다. 이를 '샌드위치 공격'이라고 부르며, 작년 한 해 동안 MEV만으로도 DeFi 사용자로부터 13억 달러 이상을 빼앗아 갔습니다[4].

이 5,000만 달러 규모의 사건에서, 차익 거래자들은 순이익으로 1,000만 달러 가까이 벌어들였습니다. 블록체인은 투명하지만 공정하지는 않습니다. 어둠의 숲에서 그림자 속에 숨어 언제든 총을 쏠 준비가 된 사냥꾼은, 순진하게 자신을 드러내는 사수보다 항상 더 빨리 총을 쏩니다.

마지막으로 한 가지 생각

DeFi의 무허가 특성은 양날의 검이다. 이는 사용자에게 완전한 자유를 부여하지만, 동시에 사용자를 완전한 위험에 노출시킨다. 프로토콜은 경고를 보내고 확인을 요청한 뒤, 사용자의 지시를 충실히 실행합니다. 비록 그 지시가 지갑을 순식간에 텅 비게 할지라도 말입니다.

경고에서 확인으로 이어지는 그 틈, 이해에서 행동으로 이어지는 그 간극이 바로 5천만 달러가 사라진 곳입니다.

스타니는 DeFi가 개방적이고 허가 없이 운영되어야 하며, 사용자가 자유롭게 거래할 수 있도록 허용해야 하지만, 동시에 업계는 사용자를 더 잘 보호하기 위해 더 많은 안전 장치를 구축해야 한다고 말합니다[1]. 이는 균형을 맞추는 기술입니다. DeFi의 핵심 정신을 유지하면서도, 일반 사용자가 한 번의 실수로 모든 재산을 잃는 것을 방지해야 합니다.

어쩌면 이번 값비싼 수업료는 그 거액 투자자뿐만 아니라 업계 전체가 치른 것일지도 모른다.

일반 사용자에게 있어 이 이야기의 가장 큰 교훈은 아마도, 확인 버튼을 누르기 전에 자신이 무엇을 하고 있는지 확실히 이해해야 한다는 점일 것이다. DeFi 사용자에게 있어 aToken, 슬리피지 메커니즘, 유동성 깊이, 실행 위험을 이해하는 것은 더 이상 고급 지식이 아니라 생존의 기본 조건입니다[4].

결국, 그 체크박스는 결코 죽음에서 벗어나는 만능 해결책이 아니었으니까요.

참고 자료:

[1] Stani Kulechov, "오늘 초, 한 사용자가 Aave 인터페이스를 통해 5천만 달러 상당의 USDT로 AAVE를 구매하려 시도했습니다... ", X, 2026년 3월 13일. [링크](https://x.com/StaniKulechov/status/2032193345414664659)

[2] martin, "오늘 우리 인터페이스에서 발생한 5천만 달러 규모의 불리한 스왑 거래 이후, 슬리피지에 대해 많은 혼란이 있어 이를 명확히 하고자 합니다...", X, 2026년 3월 13일. [링크](https://x.com/mgrabina/status/2032225132605833371)

[3] OdailyNews, "도대체 몇 번이나 말해야 하는가, 이 세상은 그저 거대한 엉터리 조직일 뿐...", X, 2026년 3월 13일. [링크](https://x.com/OdailyChina/status/2032243323248030094)

[4] Indigo, "누군가 DeFi 스왑에서 5,040만 달러를 잃었다...", X, 2026년 3월 13일. [링크](https://x.com/UncleIndigo/status/2032215131531223500)