리졸브 해킹…프라이빗 키 탈취에 디파이 리스크 관리 무력화

리졸브 해킹, 디파이 ‘리스크 관리’의 한계 드러내

주말 사이 리졸브(Resolv) 프로토콜이 해킹을 당하면서 디파이(DeFi) 시장의 ‘리스크 관리’가 여전히 운영·권한 설계 앞에서 무력해질 수 있다는 점이 재확인됐다. 스마트컨트랙트가 여러 차례 감사를 받았음에도, 프라이빗 키 탈취 한 번으로 스테이블코인 페그가 붕괴하고 피해가 연쇄 확산하는 전형적 경로가 반복됐다.

공격자는 프로젝트의 프라이빗 키를 확보한 뒤 담보 없이 USR 스테이블코인을 무더기로 발행해 시장에 풀었다. 코드 취약점만이 아니라, 권한이 집중된 운영 구조 자체가 단일 실패 지점(SPOF)으로 작동할 때 디파이 리스크가 얼마나 빠르게 현실화되는지 보여준 사례로 평가된다.

무담보로 8000만달러 USR 발행…페그 붕괴로 0.2달러대

사건의 핵심은 ‘무담보 발행’이다. 해커는 탈취한 권한을 이용해 약 8000만달러 규모의 USR을 담보 없이 발행(mint)했고, 이를 이더리움(ETH) 등으로 교환하는 과정에서 USR의 1달러 페그가 무너졌다. 현재 USR은 0.2달러대에서 거래되며 사실상 신뢰 기반이 크게 훼손된 상태다.

탈취 규모는 약 2300만~2500만달러 상당으로 추정된다. 원·달러 환율을 1달러=1504.20원으로 환산하면, 하단 기준 2300만달러는 약 346억원 수준이다. 리졸브 측은 추가 피해 확산을 막기 위해 발행과 상환(redeem) 기능을 중단했다.

연결된 프로토콜로 번지는 충격…‘큐레이터 모델’ 노출도 점검

피해는 리졸브와 USR 보유자에만 머물지 않을 수 있다. USR을 통합한 여러 디파이 프로토콜이 간접 충격을 받을 여지가 있어, 디파이 상호 연결성이 위기 확산 통로로 작동한다는 우려가 다시 커졌다. 다만 일부 해외 보도는 가운틀렛, 리도파이낸스 등 주요 프로토콜로의 직접 영향은 제한적이라는 관측도 함께 전했다.

특히 맞춤형 대출 시장을 구성하는 ‘큐레이터 모델’이 재조명된다. 제3의 자산운용사가 볼트 설계를 통해 대출자·차입자 수요를 세밀하게 맞추는 구조는 효율적일 수 있지만, 기초 자산의 리스크 평가가 틀리거나 담보·유동성 관리 가정이 흔들릴 경우 연쇄 청산과 유동성 이탈로 번질 가능성이 크다. 시장 참여자들 사이에선 USR 연계 볼트와 프로토콜 간 노출도를 재점검해야 한다는 목소리가 나온다.

감사로도 못 잡은 ‘특권 키’ 리스크…협상 카드와 시장 환경 악화

이번 사고는 ‘감사(감리)’만으로는 운영 리스크를 충분히 걸러내기 어렵다는 약점을 드러냈다. 디파이 리스크 평가업체 크레도는 과거 USR에 ‘정크’ 등급을 부여한 바 있는데, 이번 해킹이 막강한 발행 권한을 가진 단일 특권 접근 키가 초래한 높은 운영 리스크와, 키 탈취 시 피해를 제한할 온체인 안전장치 부재를 동시에 드러냈다고 분석했다. 여러 차례 보안 감사를 거쳤음에도 해당 취약점이 사전에 식별되지 않았다는 점도 시장 불신을 키우는 대목이다.

리졸브 측은 해커에게 탈취 자산의 90%를 반환하면 추적을 중단하겠다는 조건을 제시했고, 이행 시한을 목요일로 잡았다. 일부 해외 매체는 사실상 10% ‘바운티’를 제안한 협상으로 해석하며, 검증 없는 토큰 발행 구조 자체가 문제였다는 보안업체 지적도 함께 전했다.

시장 여건도 녹록지 않다. 최근 디파이 업계는 해킹과 재정 악화가 겹치며 구조조정 압력을 받고 있는데, 발란서의 경우 2024년 11월 해킹 이후 TVL이 급감하며 BAL 발행 중단과 조직 축소 등 생존형 개편에 들어간 바 있다. 암호화폐 시장 역시 이더리움(ETH) 가격 약세와 공급량 증가로 디플레이션 기대가 약화된 상황이다. 미국 규제 환경 개선 기대가 남아 있음에도, 가격 부진과 업계 체력 저하 국면에서 터진 이번 리졸브 해킹은 디파이 전반의 ‘신뢰 프리미엄’을 추가로 훼손하고 자금 유입을 둔화시킬 수 있다는 관측이 나온다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.