리졸브(Resolv) USR, 2500만 달러 탈취로 디페깅 발생

• 리졸브 랩스(Resolv Labs)의 스테이블코인 USR이 취약점 공격을 받아 8000만 개의 토큰이 무단 발행되었습니다.
• 공격자는 발행된 토큰을 다른 자산으로 교환하여 약 2500만 달러를 인출한 것으로 파악됩니다.
• 이번 공격으로 USR은 달러 연동(페깅)이 깨졌으며, 탈중앙화 거래소에서 최저 2.5센트까지 급락한 후 일부 회복되었습니다.

취약점 공격의 상세 내용

일요일, 한 공격자가 리졸브 USR(USR) 스테이블코인의 컨트랙트 취약점을 이용해 담보가 없는 5000만 USR을 먼저 발행했습니다. 보안 업체 팩실드(PeckShield)에 따르면 이후 3000만 개가 추가로 발행되어 총 8000만 개의 토큰이 생성되었습니다. 온체인 데이터 분석 결과, 공격자는 단 10만 달러 상당의 USDC를 예치하고 이 막대한 양의 USR을 생성한 것으로 드러났습니다.

공격자는 발행된 자금을 여러 프로토콜로 빠르게 이동시켜 USDC와 USDT로 교환한 뒤, 이를 다시 이더리움(ETH)으로 공격적으로 전환했습니다. D2 파이낸스(D2 Finance)는 이를 두고 "전형적인 디파이(DeFi) 해킹 자금 세탁 수법"이라고 평가했습니다.

프로토콜 대응 및 기술적 결함

사건 발생 직후 리졸브 랩스는 추가 피해를 막기 위해 모든 프로토콜 기능을 중단했으며 현재 복구 작업을 진행 중이라고 발표했습니다. 공격의 정확한 원인은 아직 조사 중이나, 전문가들은 발행 기능이 고장 난 이유에 대해 다음과 같은 가능성을 제기했습니다.

• 오프체인 서명자(off-chain signer)의 계정 탈취 가능성
• 프로토콜이 사용하는 오라클(oracle) 조작
• 요청과 완료 사이의 금액 검증(amount validation) 로직 부재

시장 영향 및 디페깅 현상

담보 없는 토큰이 대량으로 유입되면서 USR의 1달러 연동이 무너졌습니다. 유동성이 가장 풍부한 커브 파이낸스(Curve Finance)의 USR/USDC 풀에서 토큰 가격은 공격 직후 2.5센트까지 추락했습니다. 현재 가격은 약 87센트 수준으로 반등했으나, 여전히 목표가인 1달러에는 미치지 못하고 있습니다.

이번 사건은 암호화폐 보안 사고 추세가 변화하는 가운데 발생했습니다. 지난 1월 3억 8500만 달러에 달했던 해킹 피해액이 2월에는 4900만 달러로 급감했으나, 이번 공격은 탈중앙화 금융 프로토콜의 취약성이 여전히 심각한 위협임을 다시 한번 상기시켰습니다.