디파이(DeFi) 프로토콜 리서플라이(Resupply)의 wstUSR 마켓이 해킹 공격을 받으며 약 970만 달러(약 134억 3,000만 원)의 암호화폐 피해가 발생했다. 해당 사건은 블록체인 보안 기업 사이버스(Cyvers) 측이 가격 조작 수법에 따른 취약점을 이용한 공격이라고 지목하며 알려졌다.
사이버스는 해당 취약점이 리서플라이 프로토콜 내 ‘ResupplyPair’ 계약에 포함된 가격 조작 버그와 관련 있다고 설명했다. 메이어 돌레브(Meir Dolev) 사이버스 공동창업자 겸 최고기술책임자(CTO)는 “공격자는 가격을 인위적으로 부풀려 최소 담보만으로도 약 1,000만 달러(약 139억 원) 상당의 reUSD를 대출받았다”고 밝혔다. 이 과정에서 프로토콜 연동 스테이블코인인 cvcrvUSD가 핵심 역할을 한 것으로 전해졌다.
공격자는 익명성 강화 도구로 알려진 토네이도 캐시(Tornado Cash)를 통해 자금을 조달한 뒤, 탈취한 암호화폐를 이더리움(ETH)으로 교환하고 이들을 두 개의 지갑 주소로 분산시켰다. 사이버스는 이같은 정황을 X(구 트위터)를 통해 공개하면서, 리서플라이 측과 보안 커뮤니티에 주의를 당부했다.
이번 사건은 디파이 시장에서 여전히 ‘스마트 계약 취약성’과 가격 조작에 대한 위험이 상존하고 있다는 점을 다시금 드러낸 사례이기도 하다. 전문가들은 금액 규모뿐 아니라, 복잡한 구조의 디파이 프로토콜들이 얼마나 정밀한 보안 검증이 필요한지를 보여주는 경고라고 설명했다.