수익형 스테이블코인 프로토콜 레졸브(Resolv)에서 오프체인 서명 키 탈취로 대규모 USR가 발행되며 USR 페그가 붕괴됐다고 전했다.

가격 폭락에도 오라클이 1달러로 고정 평가되면서 과대 담보 대출이 발생해 플루이드·모포 등 디파이 대출 시장으로 피해가 확산됐다고 밝혔다.

레졸브 해킹에 USR 페그 붕괴…디파이 대출 시장까지 충격 확산 / TokenPost.ai

한 일요일 아침, 약 10만 달러(약 1억4,885만 원)가 17분 만에 2,500만 달러(약 372억 원)로 불어났다. 수익형 스테이블코인 프로토콜 ‘레졸브(Resolv)’에서 발생한 해킹으로, 시스템 핵심이 무너지며 시장 전반으로 충격이 확산됐다.

사건 직후 레졸브가 계약을 중단했지만, 달러 연동 스테이블코인 USR은 페그가 붕괴되며 한때 ‘페니’ 수준까지 급락했다. 현재도 약 0.25달러에 거래되며 일주일 기준 70% 이상 하락한 상태다.

이번 사태는 단일 프로토콜에 그치지 않았다. 디파이 플랫폼 플루이드/인스타댑은 1,000만 달러 이상의 부실 채권을 떠안았고, 하루 만에 3억 달러 이상의 자금 유출을 기록했다. 모포(Morpho) 금고 15곳이 영향을 받았으며 오일러, 비너스, 리스트DAO, 인버스 파이낸스 등도 USR 관련 시장을 긴급 중단했다.

해킹 구조와 핵심 취약점

문제의 시작은 USR 발행 구조였다. 사용자가 USDC를 예치하면, 오프체인 서명 키인 ‘SERVICE_ROLE’이 발행량을 승인하는 방식인데, 최소 발행량 제한만 있을 뿐 상한선은 없었다.

공격자는 AWS 키 관리 시스템을 통해 해당 키를 탈취한 뒤 약 10만~20만 달러를 넣고, 8,000만 USR을 발행했다. 온체인 기록상 5,000만과 3,000만 USR이 몇 분 사이 생성된 것으로 나타난다.

온체인 분석가 바딤(@zacodil)은 “버그가 아니라 설계 그대로 작동한 ‘기능’이었다는 점이 더 큰 문제”라고 지적했다. 실제로 해당 시스템은 18차례 감사를 받았지만, ‘상한 미설정’ 문제가 명확히 지적됐던 것으로 알려졌다.

공격자는 발행한 USR을 스테이킹 버전(wstUSR)으로 전환한 뒤, 커브·유니스왑·카이버스왑 등을 거쳐 이더리움(ETH)으로 바꿨다. 현재 약 1만1,400 ETH(약 2,400만 달러)를 보유한 것으로 추정된다.

다만 시스템을 뒷받침하던 비트코인(BTC)과 이더리움 담보 풀 자체는 손상되지 않았다.

대출 시장 붕괴로 확산

이번 사태는 ‘발행 해킹’과 ‘대출 시장 붕괴’가 결합된 구조다.

USR과 wstUSR 가격이 폭락했지만, 일부 디파이 플랫폼의 ‘오라클’은 여전히 이를 1달러 수준으로 평가했다. 카오스랩스 대표 오머 골드버그(Omer Goldberg)는 “오라클이 고정돼 재가격이 이뤄지지 않았다”며 “실제 시장 가격이 0.63달러일 때도 1.13달러로 계산됐다”고 설명했다.

이 틈을 노린 트레이더들은 헐값에 wstUSR을 매입한 뒤 이를 담보로 과대 평가된 금액만큼 USDC를 대출받고 이탈했다.

플루이드는 전액 보전을 위해 단기 자금을 조달했고, 모포는 고위험 장기 전략 금고 중심으로 피해가 발생했다. 그러나 일부 큐레이터의 리스크 관리 부실 논란도 불거졌다.

업계에서는 “큐레이터 모델이 제대로 작동하지 않는다”는 비판이 나온다. 실제로 일부 금고는 공격 이후에도 자동화 봇이 자금을 계속 유입시키며 피해를 키운 것으로 나타났다.

반복되는 구조적 문제

유사 사례는 이미 여러 차례 발생했다. 2025년 1월 ‘유주얼 프로토콜’ 사태, 같은 해 11월 ‘스트림 파이낸스’ 붕괴, 그리고 문웰의 연속 오라클 오류까지 반복된 패턴이다.

공통점은 ‘디페깅된 스테이블코인을 1달러로 고정 평가’하는 구조다. 이는 단기 변동성을 줄이기 위한 장치지만, 페그가 붕괴되면 오히려 시스템 리스크로 전환된다.

체이널리시스는 “스마트 컨트랙트는 정상 작동했지만, 시스템 설계와 오프체인 인프라가 실패했다”며 실시간 온체인 감지 체계 필요성을 강조했다.

결국 이번 사건은 ‘수익형 스테이블코인’과 ‘큐레이터 기반 리스크 관리’의 구조적 한계를 드러낸 사례로 평가된다. 디파이 시장이 성장하는 가운데, 보이지 않는 설계 리스크가 반복적으로 시스템 전체를 위협하고 있다는 점에서 경계가 요구된다.

기사요약 by TokenPost.ai