“1달러 스테이블코인이 27센트로 붕괴”…리졸브 USR 해킹

리졸브의 달러 연동 스테이블코인 USR이 스마트컨트랙트 취약점 공격으로 디페깅되며 구조적 결함 논란에 휩싸였다.

22일(현지시간) 코인데스크에 따르면 공격자는 일요일 오전 2시 21분(UTC)경 리졸브 USR 스테이블코인 민팅 컨트랙트의 취약점을 악용해 두 차례 거래로 약 8000만 개의 무담보 토큰을 생성하고 약 2500만 달러를 탈취했다.

공격자는 생성한 USR을 탈중앙화 거래소에서 USDC와 USDT로 교환한 뒤 이를 다시 이더리움으로 전환했으며 현재 약 1만1409 ETH(약 2370만 달러)와 별도 지갑에 약 110만 달러 규모의 래핑된 USR을 보유하고 있는 것으로 나타났다.

USR은 이더리움과 비트코인을 담보로 델타 중립 헤지 전략을 사용하는 달러 연동 스테이블코인이었으나 공격 발생 후 17분 만에 주요 유동성 풀인 커브 파이낸스에서 가격이 0.025달러까지 급락했다. 이후 약 0.85달러 수준까지 일시 회복했지만 페그를 완전히 회복하지 못했으며 월요일 기준 0.27달러로 주간 기준 72% 하락한 상태다.

초기 리졸브 측은 해당 사건을 “프라이빗 키 탈취”와 “인프라 공격”으로 설명했지만 온체인 분석 결과 근본 원인은 시스템 설계 자체의 문제로 밝혀졌다. 민팅 컨트랙트에서 스왑 요청을 처리하는 권한 계정인 SERVICE_ROLE이 멀티시그가 아닌 단일 외부 계정으로 관리되고 있었으며 오라클 검증, 발행량 검증, 최대 발행 한도 제한 등 핵심 안전장치가 전혀 구현되지 않은 상태였다.

공격자는 10만 USDC를 예치하고 약 500배에 해당하는 5000만 USR을 발행받았는데 해당 비율이 비정상적임에도 이를 검증하는 로직이 없어 공격이 그대로 실행됐다. 이는 단순한 해킹이 아니라 프로토콜 수준의 구조적 취약점이 직접적으로 악용된 사례로 평가된다.

디파이라마 데이터에 따르면 리졸브의 총예치자산(TVL)은 2025년 2월 약 6억8400만 달러로 정점을 찍은 이후 지속적으로 감소해 공격 직전 약 9500만 달러 수준까지 축소된 상태였다.

리졸브 측은 현재 법 집행 기관 및 온체인 분석 업체와 협력해 자산 회수를 추진 중이라고 밝혔으며 복구 작업이 진행되는 동안 USR 거래를 자제할 것을 강력히 권고했다. 또한 해킹 이후 이용자들의 거래 행위가 자산 회수에 영향을 미칠 수 있다고 경고했다. ​