리졸브, 2,500만 달러 해커에 90% 반환 72시간 최후통첩

• 리졸브 랩스(Resolv Labs)가 2,500만 달러 규모의 보안 침해 사고 이후 공격자에게 72시간 내 자산 반환을 요구하는 최후통첩을 보냈습니다.
• 공격자가 목요일까지 탈취한 자금의 90%를 반환할 경우, 나머지 10%(약 250만 달러)를 보상금으로 보유할 수 있도록 제안했습니다.
• 이번 공격으로 8,000만 USR 토큰이 무단 발행되었으며, 이는 이후 11,409 ETH로 전환되었습니다.

합의 제안 및 조건

월요일, 아부다비에 본사를 둔 스테이블코인 발행사 리졸브 랩스는 일요일 발생한 익스플로잇(취약점 공격) 당사자에게 온체인 메시지를 전달했습니다. 프로토콜 측은 특정 복구 주소를 지정하고, 목요일까지 자산의 90%를 이체할 것을 요구했습니다. 반환 대상에는 약 2,250만 달러 상당의 이더리움(ETH)과 공격자가 보유 중인 나머지 USR 토큰이 포함됩니다.

또한 리졸브는 대안으로 '화이트햇' 공개 경로를 제안했습니다. 이는 공격자가 금융 합의 대신 이메일을 통해 정당한 보안 연구를 수행했음을 증명하는 방식입니다.

사고 경위 및 기술적 취약점

이번 보안 사고는 3월 22일 일요일 이른 아침에 발생했습니다. 공격자는 20만 USDC를 리졸브 USR 카운터 컨트랙트에 예치하며 공격을 시작했습니다. 그 대가로 5,000만 USR과 3,000만 USR 등 두 차례에 걸쳐 총 8,000만 USR을 발행했습니다. 이렇게 발행된 무담보 토큰은 탈중앙화 거래소(DEX)에서 다른 스테이블코인으로 교환된 후 최종적으로 11,409 ETH로 변환되었습니다.

블록체인 분석가들에 따르면, 이번 취약점은 단일 외부 소유 계정(EOA)이 관리하는 권한 있는 발행 권한에서 비롯되었습니다. 해당 시스템에는 다음과 같은 핵심 보안 장치가 결여되어 있었습니다:

• 트랜잭션 또는 계정당 최대 발행 한도 제한 부재
• 자산 가치 검증을 위한 오라클 가격 확인 절차 부재
• 고권한 역할을 위한 멀티시그(다중 서명) 승인 체계 부재

향후 대응 및 사용자 구제

리졸브 측은 72시간 이내에 자금이 반환되지 않을 경우 강력한 조치를 취할 것이라고 경고했습니다. 여기에는 중앙화 거래소(CEX), 크로스체인 브릿지 및 인프라 제공업체와 협력하여 도난 자산을 동결하는 조치가 포함됩니다. 또한 블록체인 분석 기업 및 수사 기관과 공조하여 법적 대응을 진행하고 모든 거래 내역을 공개적으로 추적할 예정입니다.

사용자 보호와 관련하여 리졸브 디지털 에셋은 사고 당시 USR을 보유했던 화이트리스트 사용자들과 연락을 취하고 있다고 밝혔습니다. 해당 사용자들에 대해서는 사고 발생 전 보유분에 대한 상환이 이미 활성화되었으며, 그 외 사용자들을 위한 후속 업데이트가 제공될 예정입니다.