10만달러로 5천만달러 ‘돈 복사’라니…해킹에 리졸브 랩스 ‘USR’ 스테이블코인 ‘와르르’

10만달러 입금해 5천만달러 복사
해커, 이더리움으로 330억원 현금화
리졸브랩스, 프로토콜 전면 중단
감사가 무색한 디파이 보안 취약성

이더리움 기반 스테이블코인 USR가 대규모 해킹에 휘말리며 달러 페그를 잃고 폭락, 디파이(DeFi) 시장에 또 한 번 보안 경고등을 켰다.

공격자는 약 10만달러 상당의 USDC를 예치한 뒤 80억개에 달하는 미담보 USR를 발행해 순식간에 2500만달러 안팎의 차익을 거둔 것으로 분석된다.

리졸브 랩스(Resolv Labs)는 22일(현지시간) “취약점을 노린 공격으로 5000만개 미담보 USR가 발행됐다”며 “추가 피해를 막기 위해 프로토콜 모든 기능을 일시 중단하고 복구 작업에 착수했다”고 밝혔다. 이후 온체인 보안업체 픽실드(PeckShield) 등이 3000만개 추가 발행 정황을 포착해, 총 8000만개 규모의 비정상 토큰이 생성된 것으로 파악된다.

◆ “10만달러 넣고 8000만 USR 인출”… 민팅 로직 ‘붕괴’

리졸브랩스 측이 USR 무단 발행 사실을 인정하고 프로토콜 가동을 전면 중단했다고 밝히고 있다. [사진=리졸브랩스 X]

가장 먼저 이상 징후를 포착한 온체인 분석 계정 ‘yieldsandmore’는 “USR 가격이 급락하고 있다”며 공격 정황을 공유했고, 이후 크립토 펀드 D2 파이낸스가 상세한 온체인 분석 보고를 내놓았다.

D2 파이낸스에 따르면 공격자는 레졸브의 ‘USR 카운터’ 컨트랙트에 requestSwap 함수로 10만달러 규모의 USDC를 예치한 뒤, completeSwap 단계에서 4995만개의 USR를 돌려받았다.

원래라면 예치액과 1대1 수준에서 USR가 발행돼야 하지만, 이번에는 입력 데이터의 목표 발행량(_targetAmount) 필드가 ‘5000만×10의 18승’으로 기록되면서 500배에 달하는 오발행이 이뤄졌다는 분석이다.

D2 측은 “오라클(가격 연동 장치)이 조작됐거나, 오프체인 서명자가 탈취됐거나, 요청·완료 단계 사이 금액 검증 로직 자체가 빠져 있었던 것으로 보인다”며 “민팅 함수가 구조적으로 망가져 있었다”고 지적했다.

온체인 포렌식 업체 체이널리시스는 별도 보고서에서 “공격자는 서비스 권한을 가진 서명 키를 손에 넣어 completeSwap 호출 시 과도한 출력값을 승인하게 만들었다”며 “10만~20만달러 수준의 예치로 수천만 USR를 찍어낼 수 있었다”고 분석했다. 단순 코드 버그를 넘어, 서명 키 관리 등 운영 보안(OPSEC) 허점이 근본 원인일 수 있다는 지적이다.

◆ 17분 만에 페그 붕괴… USR, 1달러서 2.5센트로

해킹 공격 직후 글로벌 탈중앙화거래소(DEX) 커브파이낸스에서 USR 가격이 1달러 페깅을 잃고 폭락하고 있는 모습. [사진=덱스스크리너]

문제는 발행 그 다음 단계였다. D2 파이낸스에 따르면 공격자는 먼저 발행한 USR를 랩드(wrapped) 토큰인 wstUSR로 교환해 탈출 가능한 유동성을 최대한 확보했다.

이어 카이버스왑, Velora 등 주요 디파이 거래소 곳곳에서 wstUSR를 USDT·USDC로 쏟아내며 ‘교과서적인 디파이 해킹 엑시트 각본’을 실행했다.

공격자가 본격 매도에 나선 뒤 커브파이낸스의 USR/USDC 풀은 17분 만에 붕괴, 한때 USR 가격이 0.025달러(2.5센트)까지 추락했다.

일부 거래에서는 0.5달러 안팎에 wstUSR가 대량 체결되는 등 슬리피지가 급격히 커졌고, 온체인에는 서둘러 탈출하려는 사용자들의 실패 거래도 다수 포착됐다.

암호화폐 데이터업체에 따르면 사건 직후 USR는 최대 86%까지 페그에서 이탈한 뒤 점차 회복, 현재는 0.4~0.8달러 구간에서 거래되고 있다.

레졸브 랩스는 “사용자 담보 자산은 유실되지 않았다”고 강조했지만 시장 신뢰가 회복되기까지는 상당한 시간이 필요할 전망이다.

◆ 2500만달러 탈취… “감사≠보안” 다시 입증

블록체인 데이터 분석 플랫폼 아캄을 통해 확인된 해커의 온체인 거래 내역. 10만 달러 규모의 USDC를 예치하고 약 5000만 개의 USR을 빼낸 정황이 포착됐다. [사진=아캄인텔리전스]

시장 추산에 따르면 공격자는 USR 매도 과정에서 평균 0.5~0.88달러 수준 가격을 적용받았고 총 2500만달러 이상을 스테이블코인과 이더리움(ETH)으로 인출한 것으로 나타났다.

D2 파이낸스는 “USDT·USDC로 갈아탄 뒤 메타마스크 스왑, 유니스왑 등을 통해 수천 ETH로 재차 교환하며 ‘풀 스피드’ 현금화가 진행됐다”고 전했다.

이번 사건은 특히 리졸브가 5억달러 이상 TVL(예치 자산 규모)을 관리하는 대형 디파이 프로젝트였다는 점에서 충격을 키웠다.

리졸브는 그간 다수의 보안 감사와 버그바운티 프로그램, 커스터디 업체 연계 등을 내세워 안전성을 강조해 왔지만, 정작 민팅 경로 한 곳이 뚫리면서 대규모 토큰 발행을 허용한 셈이 됐다.

보안업체와 업계 관계자들은 “감사(Audit)가 곧 보안을 보장하지는 않는다”며 “스마트컨트랙트 설계뿐 아니라 키 관리, 서명권한 분산, 실시간 온체인 모니터링 등 운영 전반에서 다층 방어 체계를 갖춰야 한다”고 입을 모은다.

최근 2월 한 달 디파이 해킹 피해액이 4900만달러로 1월(3억8500만달러)보다 크게 줄었다는 통계가 나왔지만, 이번 사례처럼 단일 취약점이 수천만달러 피해로 이어질 수 있다는 점이 다시 확인됐다는 평가다.

◆ “작은 스테이블코인일수록 변동성 커”… 규제 논의 불가피

USR는 달러 예치금 대신 이더리움, 스테이킹 이더, 비트코인 등 암호화폐 담보를 과잉 설정해 가치를 유지하는 온체인 스테이블코인으로 설계됐다.

중앙화 준비금에 의존하는 대형 스테이블코인과 달리, 스마트컨트랙트가 담보 관리와 발행·소각을 자동으로 수행한다는 점이 장점으로 꼽혔지만 이번 사건으로 구조적 리스크가 노출됐다.

업계에서는 “대형 달러 스테이블코인뿐 아니라, 리졸브처럼 상대적으로 규모가 작은 프로젝트 발행 토큰이 디파이 생태계 곳곳에서 담보·결제 수단으로 쓰이고 있다”며 “소규모 스테이블코인은 유동성이 얇아, 한 번 문제가 터지면 USR처럼 극단적 변동성이 발생하기 쉽다”고 경고한다.