2억 넣고 800억 인출?... 리졸브 랩스 USR 코인 해킹 사건 분석

이더리움 기반의 스테킹 담보형 스테이블코인 USR가 대규모 보안 사고에 휘말리며 가상자산 시장에 큰 파장을 일으키고 있다. 1달러 가치를 유지해야 할 USR는 해킹 직후 17분 만에 2.5센트까지 폭락하며 디파이(DeFi) 생태계의 구조적 취약성을 다시 한번 드러냈다.

■ ‘500배 오발행’의 전말: 무너진 검증 로직

지난 22일(현지시간), 리졸브 랩스(Resolv Labs)의 프로토콜에서 총 8,000만 개에 달하는 비정상 USR 토큰이 생성되는 초유의 사태가 발생했다. 온체인 분석 업체 D2 파이낸스와 픽실드(PeckShield)에 따르면, 공격자는 ‘USR 카운터’ 컨트랙트의 취약점을 정밀하게 공략했다.

공격자는 약 10만 달러 상당의 USDC를 예치한 후, 트랜잭션 완료 단계(completeSwap)에서 목표 발행량(_targetAmount) 필드를 임의로 조작했다. 정상적인 1대1 발행 원칙이 무너지고 예치액의 500배에 달하는 코인이 발행된 것이다. 체이널리시스는 보고서를 통해 "공격자가 서비스 권한을 가진 서명 키를 탈취해 과도한 출력값을 승인하게 만들었다"며, 단순한 코드 버그를 넘어선 운영 보안(OPSEC)의 치명적 결함을 지적했다.

■ 17분 만에 증발한 신뢰, ‘교과서적 엑시트’에 속수무책

무단 발행된 8,000만 USR은 곧바로 디파이 시장을 교란했다. 공격자는 추적을 피하고 유동성을 확보하기 위해 USR를 랩드 토큰인 wstUSR로 교환한 뒤, 커브 파이낸스(Curve Finance)와 카이버스왑 등 주요 탈중앙화 거래소(DEX)에 쏟아냈다.

이 과정에서 1달러를 유지하던 USR 가격은 단 17분 만에 0.025달러까지 추락하며 사실상 페깅이 붕괴됐다. 공격자는 매도 과정에서 발생한 급격한 슬리피지에도 불구하고, 메타마스크 스왑과 유니스왑 등을 통해 약 2,500만 달러(약 330억 원) 상당의 이더리움(ETH)과 스테이블코인을 손에 넣고 현금화에 성공했다.

■ “감사는 면죄부가 아니다”... 디파이 업계의 뼈아픈 교훈

이번 사고가 더욱 충격적인 이유는 리졸브 랩스가 그간 18차례 이상의 보안 감사와 버그바운티 프로그램을 운영하며 '안전성'을 전면에 내세웠던 프로젝트였기 때문이다. 전문가들은 이번 사태를 통해 “감사 결과가 곧 완벽한 보안을 의미하지 않는다”는 사실이 재확인됐다고 입을 모은다.

스마트 컨트랙트의 내부 로직이 아무리 정교하더라도, 이를 운용하는 오프체인 서명자의 권한 관리나 키 보관 시스템이 뚫릴 경우 전체 프로토콜이 마비될 수 있다는 것이다. 특히 이상 징후 발생 시 즉각 발행을 차단하는 실시간 온체인 모니터링과 '서킷 브레이커'의 부재가 피해 규모를 키운 핵심 원인으로 꼽힌다.

■ 소규모 스테이블코인의 구조적 리스크와 규제 논의

업계 관계자는 “대형 스테이블코인과 달리 유동성이 상대적으로 얇은 중소형 프로젝트들은 단 한 번의 공격으로도 생태계 전체가 붕괴될 수 있다”며 주의를 당부했다. 리졸브 랩스는 “사용자 담보 자산은 안전하다”며 복구 의지를 밝혔으나, 한 번 무너진 시장의 신뢰를 회복하기까지는 험난한 과정이 예상된다.

이번 사건을 계기로 디파이 프로토콜의 운영 보안 표준화와 더불어, 스테이블코인 발행 주체에 대한 보다 엄격한 관리 감독 시스템 구축이 필요하다는 목소리가 힘을 얻고 있다.