리졸브 해킹, 감사 뚫린 ‘권한 키’…디파이 리스크 관리 한계 드러내

주말 사이 발생한 리졸브(Resolv) 해킹이 디파이(DeFi) 생태계의 ‘리스크 관리’가 여전히 취약하다는 점을 다시 부각시켰다. 수차례 보안 감사와 위험 분석을 거쳐도, 한 번의 사고가 패그 붕괴와 연쇄 피해로 번지는 구조가 반복되고 있다.

이번 사건은 “잘못될 수 있는 것은 결국 잘못된다”는 머피의 법칙이 디파이에서 유독 자주 현실이 된다는 지적과 맞물린다. 코드가 공개돼 있고 검증 절차가 존재해도, 운영 체계와 권한 설계가 허술하면 방어선은 쉽게 무너진다는 경고가 나온다.

‘무담보 발행’으로 8000만달러 USR 생성…현재 0.2달러대

공격자는 프로젝트의 프라이빗 키에 접근한 뒤 담보 없이 USR 스테이블코인 8000만달러어치를 발행했다. 이후 이를 이더리움(ETH)으로 교환하는 과정에서 USR의 1달러 패그가 붕괴했고, 공격자가 최종적으로 빼돌린 금액은 약 2300만달러 상당의 암호화폐로 추산된다.

1달러에 연동돼야 하는 USR은 현재 0.2달러를 조금 웃도는 수준에서 거래되고 있다. 추가 피해를 막기 위해 발행(mint)과 상환(redeem) 기능은 중단된 상태다. 원·달러 환율을 1달러=1504.20원으로 환산하면, 이번 사고로 추정되는 유출액 2300만달러는 약 346억원 규모다.

통합 프로토콜로 피해 확산…‘큐레이터 모델’의 구조적 리스크

피해는 리졸브 랩스와 USR 보유자에 그치지 않았다. USR을 통합한 여러 프로토콜이 함께 흔들리며, 디파이의 상호 연결성이 위기 확산 통로가 될 수 있다는 점이 재확인됐다.

특히 일부 프로토콜은 제3의 자산운용사가 맞춤형 대출 시장을 구성하는 ‘큐레이터 모델’을 활용한다. 겉으로는 다양한 대출자·차입자 수요를 세밀하게 맞출 수 있지만, 기초 자산의 리스크 평가가 잘못되면 연쇄 청산과 유동성 이탈로 이어질 수 있다. 게이트 벤처스의 매니징 파트너 케빈 양은 “리졸브 해킹은 단순한 익스플로잇이 아니라, 디파이가 리스크를 가격에 반영하는 방식의 ‘구조적 실패’”라고 지적했다.

감사로 못 잡은 ‘권한 키’ 취약점…회수 협상과 시장 냉각 겹쳐

디파이 리스크 평가업체 크레도라는 과거 USR에 ‘정크’ 등급을 부여한 바 있으며, 이번 사고가 두 가지 핵심 문제를 드러냈다고 분석했다. 사고의 직접 원인은 “막강한 발행 권한을 가진 단일 특권 접근 키로 인한 높은 운영 리스크”였고, 여기에 “키가 탈취되더라도 피해를 제한할 온체인 안전장치 부재”가 겹쳤다는 것이다. 크레도라는 또 리졸브 스마트컨트랙트가 여러 차례 유력 보안업체의 감사를 받았음에도, 해당 ‘특권 키’ 취약점은 사전에 식별되지 않았다고 덧붙였다.

이용자들은 추가 손실을 피하기 위해 영향을 받은 볼트에서 유동성을 회수하라는 권고를 받고 있다. 리졸브 측은 해커에게 이더리움의 90%를 반환하면 추적을 중단하겠다는 조건을 제시했고, 이행 시한을 목요일로 잡았다. 다만 미국의 규제 환경이 우호적으로 변하고 있다는 기대에도 가격 부진과 업계 구조조정이 겹친 시점에 터진 대형 사고인 만큼, 단기적으로 디파이 전반의 ‘신뢰 프리미엄’이 더 훼손될 수 있다는 우려가 나온다.

기사요약 by TokenPost.ai

🔎 시장 해석

- Resolv 해킹은 ‘코드 감사’만으로는 디파이의 핵심 리스크(운영·권한·키 관리)를 막기 어렵다는 점을 재확인시켰습니다.

- 무담보 발행으로 스테이블코인 페그가 붕괴되며, 신뢰 하락이 유동성 이탈과 연쇄 손실로 빠르게 전염되는 디파이의 취약한 연결성이 드러났습니다.

- 규제 기대감이 있더라도, 대형 사고는 단기적으로 디파이 전반의 ‘신뢰 프리미엄’을 훼손해 자금 유입을 둔화시킬 수 있습니다.

💡 전략 포인트

- ‘특권 키(관리자 권한)’가 있는 프로토콜은 코드보다 권한 설계(멀티시그, 타임락, 권한 분리)와 키 보관(하드웨어·MPC·접근통제) 체계를 우선 점검해야 합니다.

- 스테이블코인/볼트 투자 시 ‘발행·상환 중단’ 같은 비상조치가 발생할 가능성을 고려해, 즉시 출금 가능성(유동성), 연동자산 구조, 통합된 타 프로토콜 노출도를 함께 확인해야 합니다.

- 통합 프로토콜(큐레이터 모델 포함)은 한 자산의 리스크가 여러 시장으로 전파될 수 있으므로, 단일 담보/단일 발행자 의존도를 낮추고 익스포저 한도를 두는 것이 중요합니다.

📘 용어정리

- 페그(Peg): 스테이블코인이 1달러 등 특정 가치에 가격을 고정·연동하려는 메커니즘

- 민트(Mint)/리딤(Redeem): 토큰 발행/상환(반환 후 기초자산으로 교환) 기능

- 프라이빗 키(비공개 키): 자산 이동·권한 실행을 승인하는 핵심 열쇠(탈취 시 치명적)

- 특권 키(관리자 키): 발행·중단 등 강력한 권한을 가진 운영자 접근 수단

- 큐레이터 모델: 제3자가 맞춤형 대출 시장(볼트/풀)을 구성·운용하는 구조(리스크 평가 실패 시 연쇄 청산 위험)

💡 자주 묻는 질문 (FAQ)

Q.

Resolv 해킹은 어떤 방식으로 피해가 커졌나요?

해커가 프로젝트의 비공개 키(프라이빗 키)에 접근해 담보 없이 USR을 대량 발행했고, 이를 ETH로 교환하는 과정에서 USR의 1달러 페그가 붕괴했습니다. 스테이블코인의 신뢰가 무너지면서 가격이 급락하고, USR을 통합한 다른 디파이 프로토콜까지 연쇄적으로 흔들리며 피해가 확산됐습니다.

Q.

왜 보안 감사(스마트컨트랙트 감사)를 했는데도 막지 못했나요?

이번 이슈의 핵심은 컨트랙트 코드 버그라기보다 ‘운영·권한 영역’의 취약점(단일 특권 키, 키 탈취 시 피해를 제한할 온체인 안전장치 부족)이었습니다. 즉, 코드 감사가 있어도 관리자 권한 설계(멀티시그/타임락/권한 분리)와 키 관리(MPC·하드웨어 보관·접근통제)가 허술하면 동일한 유형의 사고가 발생할 수 있습니다.

Q.

초보 투자자는 디파이에서 어떤 리스크 체크를 우선해야 하나요?

① 스테이블코인이라면 담보 구조와 발행·상환 메커니즘(중단 가능성 포함)을 확인하고, ② 관리자 권한 존재 여부(특권 키, 멀티시그·타임락 적용 여부)를 점검하며, ③ 다른 프로토콜과 얼마나 연결돼 있는지(통합/재담보/큐레이터 모델)로 전염 위험을 가늠하는 것이 우선입니다. 한 곳에 자금을 몰아넣기보다 익스포저를 분산하는 것도 기본 대응입니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.