리졸브 USR 해킹…디파이 전반 ‘연쇄 충격’ 확산

리졸브 USR 해킹, 디파이 전반으로 ‘전염’ 확산

리졸브(Resolv)의 스테이블코인 USR이 2300만달러(약 341억9000만원) 규모 해킹을 당한 뒤, 디파이(DeFi) 수익형 볼트와 대출 시장 전반으로 연쇄 충격이 번졌다. 단일 프로토콜 사고가 다른 플랫폼의 유동성과 건전성까지 흔드는 ‘도미노’가 재현됐다는 평가가 나온다.

이번 사태는 디페깅(1달러 고정 붕괴)된 USR을 담보로 삼아 다른 자산을 빌려가는 방식으로 유동성이 빠져나가고, 여기에 자동화된 자금 배분 기능이 오히려 손상된 시장으로 돈을 더 밀어 넣으면서 피해를 키운 게 핵심이다. 겉으로는 단순한 해킹이었지만, 상호운용성에 기대는 디파이 구조가 취약점을 증폭시켰다.

해킹 원인: 개인키 탈취로 ‘무담보 USR’ 8000만달러 발행

리졸브랩스(Resolv Labs)는 성명을 통해 개인키가 탈취되면서 승인되지 않은 USR 발행이 발생했다고 밝혔다. 공격자는 담보 없이 약 8000만달러(약 1188억6000만원) 규모의 USR을 ‘무제한’에 가깝게 민팅(minting)한 뒤 시장에 매도한 것으로 알려졌다.

리졸브 측은 “해킹 이전에 발행된 USR 공급량은 온전하게 담보로 뒷받침된다”는 입장을 내놨지만, 피해는 탈중앙거래소(DEX)에서 유동성을 제공하던 LP(유동성 공급자)에게 집중됐다. 예컨대 커브파이낸스(Curve Finance) LP의 손실만 1700만달러(약 252억7000만원)로 추정된다.

디페깅 USR 악용…하드코딩 오라클 볼트에서 유동성 ‘빼먹기’

공격자 매도로 USR은 1달러 고정이 깨졌고, 코인마켓캡 기준 0.23달러까지 내려앉았다. 블록체인 보안업체 비오신(Beosin)은 공격자 수익을 1만1409 이더리움(ETH)으로 산정했으며, 기사 작성 시점 기준 2300만달러를 웃돈다고 추산했다.

문제는 이후였다. 기회주의적 트레이더들이 디페깅된 USR을 싼값에 매수한 뒤, 여전히 1달러로 평가하는 ‘하드코딩 가격 오라클’을 쓰는 수익형 볼트에서 담보로 투입해 USDC 같은 다른 자산을 빌려가는 방식으로 볼트 유동성을 고갈시켰다. 디페깅 자산을 정상가로 인식하는 구간이 생기면, 디파이에서는 순식간에 차익거래가 ‘약탈’로 바뀔 수 있다는 점이 다시 확인됐다.

‘리스크 큐레이터’ 자동 배분이 피해 키워…상호운용성의 역습

상황을 더 악화시킨 건 이른바 ‘리스크 큐레이터’의 자동화 전략이다. 카오스랩스(Chaos Labs)의 오머 골드버그(Omer Goldberg)는 모르포(Morpho)의 퍼블릭 알로케이터(Public Allocator) 기능을 통해 곤틀렛(Gauntlet), re7, kpk, 9서밋(9Summits) 등 큐레이터가 사전 설정된 한도와 크레딧 라인에 따라 수백만달러 규모 자금을 영향을 받은 시장으로 자동 배분했다고 설명했다. 일부 사례에선 손상된 볼트로의 배분이 수시간 지속됐다는 주장도 나왔다.

모르포의 폴 프람보(Paul Frambot)는 USR 익스포저(노출)가 1만달러 이상인 볼트가 15개라고 집계했다. 플루이드(Fluid)는 최대 1750만달러(약 260억1000만원) 수준의 부실채권(bad debt)이 발생했을 가능성이 거론됐고, 단기 대출로 100% 충당했다고 밝혔다. 이번 사건은 자동 배분이 평상시엔 수익 최적화에 유리해도, 한 번 ‘깨진 시장’이 생기면 의도치 않은 행동을 증폭시킨다는 점을 드러냈다. 업계에선 큐레이터가 ‘자기자본을 먼저 잃는’ 구조(예: 트랜칭)를 도입해 책임을 강화해야 한다는 요구가 다시 커지고 있다.

기사요약 by TokenPost.ai

🔎 시장 해석

USR 해킹은 ‘단일 프로토콜 사고’가 끝이 아니라, 디페깅 자산이 담보·대출·볼트 전략에 편입된 디파이 전반으로 손실이 전염되는 구조적 리스크를 드러냈습니다.

특히 USR을 1달러로 고정 인식하는 하드코딩 오라클 구간이 남아 있으면, 디페깅 자산이 곧바로 담보 약탈(유동성 고갈)로 이어질 수 있음을 재확인했습니다.

💡 전략 포인트

스테이블코인 담보 채택 시 ‘디페깅 시나리오(가격 급락/오라클 지연/유동성 붕괴)’를 전제로 한 가드레일(담보인정 중단, LTV 즉시 하향, 상한선 축소)이 필수입니다.

오라클은 하드코딩·단일 소스 의존을 피하고, DEX/체인링크 등 복수 소스+서킷브레이커(가격 급변 시 중단)를 적용해 ‘1달러로 착각하는 창’을 없애야 합니다.

자동 배분(퍼블릭 알로케이터/리스크 큐레이션)은 평시 수익 최적화엔 유리하지만, 사고 시 손상된 시장으로 자금을 ‘추가 투입’할 수 있으므로 긴급정지·수동 승인·노출 상한(escape hatch)을 갖춰야 합니다.

📘 용어정리

디페깅(Depegging): 스테이블코인이 목표 고정가(주로 1달러)에서 이탈하는 현상

민팅(Minting): 프로토콜이 신규 토큰을 발행하는 행위

오라클(Oracle): 온체인에서 자산 가격/데이터를 참조하기 위한 외부 데이터 공급 메커니즘

볼트(Vault): 예치 자산을 자동 운용해 수익을 추구하는 디파이 상품(전략 금고)

LP(유동성 공급자): DEX 풀에 자산을 예치해 거래 유동성을 제공하고 수수료를 받는 참여자

부실채권(Bad debt): 담보가치 하락 등으로 회수 불가능/부족해진 대출 잔액

💡 자주 묻는 질문 (FAQ)

Q.

이번 Resolv(리졸브) USR 사건은 정확히 어떤 방식의 해킹이었나요?

개인키(사설키)가 탈취되면서 승인되지 않은 USR 발행이 발생했고, 공격자는 담보 없이 약 8,000만 달러 규모의 USR을 민팅한 뒤 시장에 매도했습니다. 그 결과 USR이 디페깅(1달러 고정 붕괴)되며 가격이 급락했고, 특히 DEX에서 유동성을 제공하던 LP들이 큰 손실을 입었습니다.

Q.

왜 USR 가격이 무너진 뒤에 다른 디파이 볼트/대출 시장까지 피해가 번졌나요?

일부 볼트/대출 상품이 USR 가격을 ‘여전히 1달러’로 인식하는 하드코딩 오라클을 사용해, 디페깅된 USR을 싼값에 사서 담보로 넣고 USDC 등 다른 자산을 빌려가는 차익거래가 가능해졌습니다. 이 과정에서 볼트의 유동성이 빠르게 고갈됐고, 상호운용성에 얽힌 디파이 구조가 손실 전염(도미노)을 키웠습니다.

Q.

‘자동 배분(리스크 큐레이터/퍼블릭 알로케이터)’이 왜 오히려 피해를 키웠다는 말이 나오나요?

자동화 전략은 사전에 설정된 한도·크레딧 라인·수익률 조건에 따라 자금을 배분하는데, 사고로 ‘깨진 시장’이 발생하면 이를 제대로 감지·차단하지 못하고 손상된 볼트/시장에 자금이 계속 유입될 수 있습니다. 이번 건에서도 일부 큐레이터 전략 자금이 영향을 받은 시장으로 수시간 배분됐다는 지적이 나왔고, 업계에선 긴급정지(서킷브레이커)와 큐레이터 책임 강화(자기자본 선손실 구조 등)가 필요하다는 논의가 재점화됐습니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.