리졸브랩스 해킹…프라이빗키 탈취로 2300만달러 ETH 유출

탈중앙화금융(DeFi) 프로토콜 리졸브랩스(Resolv Labs)가 자체 스테이블코인 USR의 ‘민팅’ 과정이 공격당해 대규모 무담보 물량이 발행됐다고 밝혔다. 온체인 데이터 기준 공격자는 약 2300만달러(약 343억6900만원·$1=1494.30원) 규모의 이더리움(ETH)을 확보한 뒤 빠져나갔다.

사건은 일요일(현지시간) 처음 알려졌고, 리졸브랩스는 월요일 아침 “프로젝트 ‘프라이빗 키’ 접근이 이뤄져 8000만 USR이 무담보로 발행됐다”고 설명했다. 코인게코 기준 USR은 1달러 페그가 붕괴되며 0.4달러 아래로 내려갔고, 한때 0.02달러까지 급락했다.

프라이빗 키 탈취가 핵심…AWS 키관리 서비스 접근 정황

체이널리시스에 따르면 공격자는 약 10만~20만달러 수준의 담보만으로 8000만 USR을 민팅한 것으로 파악된다. 프라이빗 키를 탈취해 프로토콜 로직을 우회했고, 아마존웹서비스(AWS)의 키관리 서비스에 접근한 뒤 권한을 장악한 정황이 거론된다.

프라이빗 키는 스마트컨트랙트에서 민팅 등 핵심 권한을 실행하는 ‘열쇠’ 역할을 한다. AI 기반 온체인 탐색기 허드(Herd) 공동창업자 앤드루 웡(Andrew Whong)은 “해당 민팅 컨트랙트에 오라클(가격·상태 확인 장치)이나 최대 민팅 한도 체크가 없어 대량 발행을 막지 못했다”고 지적했다.

공격 흐름: 무담보 USR→스테이킹 버전→USDC→이더리움 매수

리졸브랩스에 따르면 공격자는 무담보로 찍어낸 USR을 스테이킹 버전 토큰으로 교환한 뒤, 이를 다시 서클(Circle)의 달러 연동 스테이블코인으로 스왑했다. 이후 해당 물량으로 시장에서 이더리움(ETH)을 매수해 최종적으로 약 2300만달러어치를 빼돌린 것으로 집계된다.

리졸브랩스는 추가 피해 확산을 막기 위해 USR의 민팅 및 상환(redeem) 기능을 중단했다고 밝혔다. 다만 이미 풀린 대량 물량과 연쇄 청산 우려가 남아 있어, USR 보유자들은 ‘페그 회복’과 유통 물량 정상화 여부를 당분간 지켜봐야 하는 상황이다.

DeFi 상호운용성의 역습…모포 생태계 ‘큐레이터’ 금고도 타격

이번 사건은 리졸브랩스와 USR 홀더에만 그치지 않고, USR을 통합한 다른 DeFi 프로토콜로도 충격이 번졌다. 특히 ‘큐레이터(curator)’가 맞춤형 대출 풀과 보안 파라미터를 설정하는 구조를 쓰는 모포랩스(Morpho Labs)에서 USR 익스포저(노출)를 가진 금고(vault)들이 영향을 받았다.

모포 공동설립자 멀린 이갈리테(Merlin Egalite)는 “모포 컨트랙트 자체의 취약점은 없으며 의도대로 안전하게 작동 중”이라며, USR 또는 리졸브 관련 자산에 노출된 금고는 각 큐레이터의 공지를 따르라고 안내했다. 카오스랩스(Chaos Labs) 창업자 오머 골드버그(Omer Goldberg)는 일부 자동화 유동성 서비스가 공격 이후에도 수 시간 유동성을 공급해 피해를 키웠다고 했고, 모포 공동창업자 폴 프람보(Paul Frambot)는 1만달러 이상 유동성을 가진 약 15개 금고가 영향을 받았다고 밝혔다.

기사요약 by TokenPost.ai

🔎 시장 해석

- 리졸브랩스의 USR ‘민팅 권한(프라이빗 키)’이 탈취되며 무담보 발행이 발생, 스테이블코인 페그가 급붕괴(1달러 → 0.4달러 하회, 한때 0.02달러)함

- 단일 프로토콜 사고가 Morpho 등 통합(상호운용)된 DeFi 금고(vault)까지 전이되며 ‘연결성 리스크’가 현실화됨

- 공격은 담보/한도 검증 부재(오라클·최대 민팅 체크 없음) + 키관리 실패(AWS KMS 접근 정황)라는 전형적 조합으로, ‘스마트컨트랙트’뿐 아니라 ‘운영 보안’이 가격 안정성의 핵심 변수임을 재확인함

💡 전략 포인트

- USR/유사 스테이블 보유자는 ① 민팅·상환 중단 공지 ② 유통량 정상화/부채 정리 계획 ③ 리저브(담보) 및 손실 흡수 구조 ④ 재발 방지(키 교체·권한 분리·멀티시그·한도) 발표 전까지 보수적으로 대응할 필요가 있음

- 이슈 발생 시 ‘무담보 민팅 → 스왑 → 블루칩(ETH) 매수’ 흐름이 빠르게 진행되므로, 디페그 초기에는 풀 유동성/슬리피지/청산 연쇄 위험이 급증(특히 레버리지·담보로 사용 중인 경우 즉시 점검)

- Morpho 등 금고 상품 이용자는 ‘프로토콜 취약점’과 ‘기초자산(USR) 디페그’ 위험을 분리해 보고, 큐레이터의 노출 자산·리스크 파라미터·자동화 유동성 정책(사고 시 중단 장치) 유무를 체크해야 함

📘 용어정리

- 프라이빗 키(Private Key): 민팅/이체/관리 권한을 실행하는 핵심 비밀키. 유출 시 프로토콜 통제권이 사실상 넘어갈 수 있음

- 민팅(Minting): 토큰을 새로 발행하는 행위. 담보 검증·발행 한도·권한 통제가 없으면 ‘무담보 발행’이 가능해짐

- 페그(Peg): 스테이블코인이 목표 가격(주로 1달러)을 유지하는 상태. 신뢰 훼손 시 급격한 디페그가 발생

- 오라클(Oracle): 가격·상태 데이터를 컨트랙트에 제공하는 장치. 부재/취약 시 잘못된 발행·청산이 발생할 수 있음

- 상환(Redeem): 스테이블코인을 담보/기초자산으로 되돌려 교환하는 기능. 중단되면 ‘탈출구’가 막혀 변동성이 커짐

- 금고(Vault)/큐레이터(Curator): 금고는 자산을 묶어 운용하는 컨테이너, 큐레이터는 금고의 자산 구성·리스크 파라미터를 설정하는 운영 주체

💡 자주 묻는 질문 (FAQ)

Q.

이번 리졸브랩스(USR) 사고는 정확히 어떤 해킹인가요?

공격자가 리졸브랩스의 민팅 권한을 가진 프라이빗 키에 접근해, 담보가 거의 없는 상태에서 약 8000만 USR을 ‘무담보로 발행(민팅)’했습니다.

이후 무담보 USR을 스테이킹 버전 토큰으로 바꾸고, 다시 USDC 등으로 스왑한 뒤 이더리움(ETH)을 매수해 최종적으로 약 2300만달러 규모를 유출한 것으로 집계됩니다.

Q.

왜 USR 가격(페그)이 1달러에서 크게 무너졌나요?

스테이블코인은 ‘충분한 담보’와 ‘상환(1달러에 가깝게 교환 가능)’ 신뢰로 가격이 유지됩니다.

그런데 이번엔 무담보 물량이 대량으로 풀리면서 시장에 매도 압력이 폭증했고, 동시에 리졸브랩스가 추가 피해 방지를 위해 민팅·상환 기능을 중단하면서 가격 안정 장치가 약해져 디페그가 심화됐습니다.

Q.

Morpho 같은 다른 DeFi 서비스까지 왜 영향을 받았나요?

USR이 다른 프로토콜(예: Morpho)의 금고(vault)나 대출 풀에 ‘담보/운용자산’으로 편입돼 있었기 때문입니다.

기초자산인 USR이 급락하면 해당 금고의 가치도 함께 떨어지고, 자동화 유동성 공급이나 청산 메커니즘이 즉시 멈추지 않으면 손실이 확대될 수 있습니다.

즉, 한 프로토콜의 보안 사고가 상호운용성(연결성)을 통해 연쇄적으로 전이되는 전형적 DeFi 리스크 사례입니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.