이더리움 기반의 스테킹 담보형 스테이블코인 USR가 해킹 사건으로 인해 가상자산 시장에서 큰 충격을 주고 있다. 1달러의 가치를 유지해야 하는 USR는 해킹 직후 불과 17분 만에 2.5센트로 폭락하며 디파이(DeFi) 생태계의 구조적 취약성을 여실히 드러냈다.
이번 사건의 핵심은 ‘500배의 비정상적 오발행’이다. 비정상적으로 생성된 8,000만 개의 USR 토큰이 리졸브 랩스의 프로토콜에서 발생했으며, 이는 온체인 분석 업체 D2 파이낸스와 픽실드(PeckShield)의 발표에 따르면 공격자가 ‘USR 카운터’ 컨트랙트의 보안 취약점을 파고든 결과다. 공격자는 약 10만 달러에 해당하는 USDC를 예치한 후, 트랜잭션 완료 단계에서 목표 발행량 필드를 조작해 결과적으로 예치액의 500배에 달하는 코인이 발행되었다. 체이널리시스는 보고서를 통해 “공격자가 서비스 권한을 가진 서명 키를 탈취해 과도한 출력값의 승인을 이끌어냈다”며, 단순한 코드 결함을 넘어선 운영 보안의 심각한 결함을 지적했다.
해킹 직후, 무단으로 발행된 USR 토큰은 디파이 시장을 흔들었다. 공격자는 USR을 랩드 토큰인 wstUSR로 교환한 뒤, 커브 파이낸스(Curve Finance)와 카이버스왑 등 주요 탈중앙화 거래소(DEX)에 쏟아부었다. 이 과정에서 USR의 가격은 불과 17분 만에 1달러에서 0.025달러로 우르르 추락하며 페깅이 사실상 무너지게 되었다. 급격한 슬리피지에도 불구하고 공격자는 메타마스크 스왑과 유니스왑을 통해 약 2,500만 달러에 달하는 이더리움(ETH)과 스테이블코인을 현금화하는 데 성공했다.
이번 사건이 더욱 주목받는 이유는 리졸브 랩스가 지금까지 18차례 이상의 보안 감사와 버그 바운티 프로그램을 운영하며 ‘안전성’을 내세운 프로젝트였기 때문이다. 전문가들은 이 사건을 통해 “감사 결과가 반드시 완벽한 보안을 보장하지 않는다는 점을 다시 한번 확인했다”고 한 목소리를 냈다. 리졸브 랩스는 공식 X를 통해 5,000만 USR의 무단 발행 사실을 인정하고 프로토콜 가동을 중단한다고 발표했다.
스마트 컨트랙트의 내부 로직이 아무리 정교하더라도, 이를 운용하는 오프체인 서명자의 권한 관리나 키 보관 시스템이 탈취당할 경우 전체 프로토콜이 마비될 수 있다는 경고가 커지고 있다. 특히, 이상 징후 발생 시 즉각적으로 발행을 차단할 수 있는 실시간 온체인 모니터링과 ‘서킷 브레이커’의 부재가 결과적으로 피해 규모를 키운 주된 원인으로 지적되고 있다.
이 사건을 통해 중소형 스테이블코인의 지원 체계와 더불어 스테이블코인 발행 주체에 대한 규제 강화의 필요성이 대두되고 있다. 업계 관계자는 “대형 스테이블코인과 달리 유동성이 상대적으로 얇은 중소형 프로젝트는 단 한 번의 공격으로 생태계 전체가 붕괴될 수 있다”며 경각심을 일깨운다. 리졸브 랩스는 “사용자 담보 자산은 안전하다”며 복구 의지를 밝히고 있으나, 한 번 손상된 시장 신뢰를 회복하는 데는 상당한 시간과 노력이 필요할 것으로 예상된다.
이 사건 계기로 디파이 프로토콜의 운영 보안 표준화 및 스테이블코인 사업 주체에 대한 보다 엄격한 관리 감독 시스템 구축이 필요하다는 목소리가 높아지고 있다.
