리졸브 USR 해킹으로 디페깅이 발생하며 디파이 대출·볼트 전반에 유동성 충격이 확산됐다.

하드코딩 오라클과 자동 자금배분 구조가 맞물리며 손실이 연쇄적으로 확대됐다.

리졸브 USR 해킹…디파이 전반 ‘연쇄 충격’ 확산 / TokenPost.ai

리졸브 USR 해킹, 디파이 전반으로 ‘전염’ 확산

리졸브(Resolv)의 스테이블코인 USR이 2300만달러(약 341억9000만원) 규모 해킹을 당한 뒤, 디파이(DeFi) 수익형 볼트와 대출 시장 전반으로 연쇄 충격이 번졌다. 단일 프로토콜 사고가 다른 플랫폼의 유동성과 건전성까지 흔드는 ‘도미노’가 재현됐다는 평가가 나온다.

이번 사태는 디페깅(1달러 고정 붕괴)된 USR을 담보로 삼아 다른 자산을 빌려가는 방식으로 유동성이 빠져나가고, 여기에 자동화된 자금 배분 기능이 오히려 손상된 시장으로 돈을 더 밀어 넣으면서 피해를 키운 게 핵심이다. 겉으로는 단순한 해킹이었지만, 상호운용성에 기대는 디파이 구조가 취약점을 증폭시켰다.

해킹 원인: 개인키 탈취로 ‘무담보 USR’ 8000만달러 발행

리졸브랩스(Resolv Labs)는 성명을 통해 개인키가 탈취되면서 승인되지 않은 USR 발행이 발생했다고 밝혔다. 공격자는 담보 없이 약 8000만달러(약 1188억6000만원) 규모의 USR을 ‘무제한’에 가깝게 민팅(minting)한 뒤 시장에 매도한 것으로 알려졌다.

리졸브 측은 “해킹 이전에 발행된 USR 공급량은 온전하게 담보로 뒷받침된다”는 입장을 내놨지만, 피해는 탈중앙거래소(DEX)에서 유동성을 제공하던 LP(유동성 공급자)에게 집중됐다. 예컨대 커브파이낸스(Curve Finance) LP의 손실만 1700만달러(약 252억7000만원)로 추정된다.

디페깅 USR 악용…하드코딩 오라클 볼트에서 유동성 ‘빼먹기’

공격자 매도로 USR은 1달러 고정이 깨졌고, 코인마켓캡 기준 0.23달러까지 내려앉았다. 블록체인 보안업체 비오신(Beosin)은 공격자 수익을 1만1409 이더리움(ETH)으로 산정했으며, 기사 작성 시점 기준 2300만달러를 웃돈다고 추산했다.

문제는 이후였다. 기회주의적 트레이더들이 디페깅된 USR을 싼값에 매수한 뒤, 여전히 1달러로 평가하는 ‘하드코딩 가격 오라클’을 쓰는 수익형 볼트에서 담보로 투입해 USDC 같은 다른 자산을 빌려가는 방식으로 볼트 유동성을 고갈시켰다. 디페깅 자산을 정상가로 인식하는 구간이 생기면, 디파이에서는 순식간에 차익거래가 ‘약탈’로 바뀔 수 있다는 점이 다시 확인됐다.

‘리스크 큐레이터’ 자동 배분이 피해 키워…상호운용성의 역습

상황을 더 악화시킨 건 이른바 ‘리스크 큐레이터’의 자동화 전략이다. 카오스랩스(Chaos Labs)의 오머 골드버그(Omer Goldberg)는 모르포(Morpho)의 퍼블릭 알로케이터(Public Allocator) 기능을 통해 곤틀렛(Gauntlet), re7, kpk, 9서밋(9Summits) 등 큐레이터가 사전 설정된 한도와 크레딧 라인에 따라 수백만달러 규모 자금을 영향을 받은 시장으로 자동 배분했다고 설명했다. 일부 사례에선 손상된 볼트로의 배분이 수시간 지속됐다는 주장도 나왔다.

모르포의 폴 프람보(Paul Frambot)는 USR 익스포저(노출)가 1만달러 이상인 볼트가 15개라고 집계했다. 플루이드(Fluid)는 최대 1750만달러(약 260억1000만원) 수준의 부실채권(bad debt)이 발생했을 가능성이 거론됐고, 단기 대출로 100% 충당했다고 밝혔다. 이번 사건은 자동 배분이 평상시엔 수익 최적화에 유리해도, 한 번 ‘깨진 시장’이 생기면 의도치 않은 행동을 증폭시킨다는 점을 드러냈다. 업계에선 큐레이터가 ‘자기자본을 먼저 잃는’ 구조(예: 트랜칭)를 도입해 책임을 강화해야 한다는 요구가 다시 커지고 있다.

기사요약 by TokenPost.ai