최근 수익형 스테이블코인 프로토콜인 레졸브(Resolv)에서 발생한 대규모 해킹 사건이 디파이(탈중앙 금융) 생태계 전반에 심각한 영향을 미쳤다. 사건 발생 이후, 약 10만 달러가 17분 만에 2,500만 달러로 불어났으며, 이는 레졸브의 기초 구조에 심각한 문제가 있었음을 보여준다. 해킹 직후 레졸브는 계약을 중단했지만, 이를 통해 발행된 스테이블코인 USR은 페그가 붕괴되어 한때 0.01달러까지 급락하는 등 심각한 가격 하락을 경험했다. 현재 USR의 거래 가격은 약 0.25달러로, 지난 주 동안 70% 이상 하락했다.
이번 사건은 단순한 프로토콜로 끝나지 않았다. 여러 디파이 플랫폼, 특히 플루이드와 인스타댑은 1,000만 달러 이상의 부실 채권을 발생시켰으며, 하루 만에 3억 달러 이상의 자금 유출이 일어났다. 모포(Morpho)는 15개의 금고에 영향을 미쳤고, 오일러, 비너스, 리스트DAO 및 인버스 파이낸스 등 다른 플랫폼도 USR 관련 거래를 긴급하게 중단해야 했다.
해킹의 주요 원인은 USR의 발행 구조에 있다. 사용자가 USDC를 예치하면, 오프체인 서명 키 ‘SERVICE_ROLE’에 의해 발행량이 승인되는데, 이 과정에서 발행량의 상한선은 설정되어 있지 않았다. 공격자는 AWS 키 관리 시스템을 통해 해당 키를 탈취하고, 최소 10만 달러의 자금을 이용해 약 8,000만 USR을 발행했다. 이는 설계상의 구조적 결함이었으며, 해당 시스템은 18차례의 감사를 받았음에도 불구하고 ‘상한 미설정’ 문제는 지적되지 않았다.
공격자는 발행한 USR을 스테이킹 버전(wstUSR)으로 전환한 뒤, 이더리움(ETH)으로 교환하는 방식으로 보유 자산을 획득했다. 현재 공격자는 현재 약 1만1,400 ETH, 즉 약 2,400만 달러 가량을 보유하고 있는 것으로 추정된다. 다행히도 시스템의 비트코인(BTC)과 이더리움 담보 풀은 손상되지 않았다.
USR과 wstUSR의 가격이 급락했음에도 불구하고, 일부 디파이 플랫폼의 오라클은 이를 여전히 1달러처럼 평가하기에, 이를 이용한 트레이더들이 저가에 매입한 후 과대평가된 금액만큼 USDC를 대출받고 이탈하는 형태로 악용되었다. 이로 인해 플루이드는 전액 보전을 위해 단기 자금을 조달해야 했고, 모포는 고위험 장기 전략 금고에서 피해를 입었다. 이러한 사태는 디파이 시스템 내에서 큐레이터 모델이 제대로 작동하지 않고 있다는 비판으로 이어졌다.
업계에서는 디파이 프로토콜들이 반복적으로 이와 같은 구조적 문제에 직면하고 있다고 평가한다. 유사한 사례로는 유주얼 프로토콜 및 스트림 파이낸스와 같은 사건이 있다. 이들 공통점은 디페깅된 스테이블코인을 1달러로 고정 평가하는 시스템 구조가 문제라는 점이다. 체이널리시스에 따르면, 스마트 계약은 제대로 작동했으나, 시스템 설계와 오프체인 인프라가 실패했음을 지적하고, 실시간 온체인 감지 시스템의 필요성을 강조했다.
결국 이번 사건은 수익형 스테이블코인 및 큐레이터 기반 리스크 관리의 구조적 한계를 다시 한번 드러낸 사례로 평가된다. 디파이 시장이 성장함에 따라, 이러한 보이지 않는 설계 리스크는 시스템 전체를 지속적으로 위협할 수 있음을 경고하는 바이다.
