리졸브(Resolv) 스테이블코인, 공격자로 인해 7,000만 달러 상당의 이더리움(ETH) 탈취 후 70% 폭락

스테이블코인은 1달러의 가치를 가져야 합니다. Resolv의 USR은 27센트의 가치를 지니고 있으며, 이를 바로잡기 위한 수학적 방정식은 작동하지 않습니다.

복수의 블록체인 보안 업체 및 온체인 데이터에 따르면, 공격자는 일요일 UTC 기준 오전 2시 21분경 Resolv의 USR 스테이블코인 민팅 계약의 결함을 이용하여 약 8,000만 개의 담보 없는 토큰을 두 건의 거래에 걸쳐 생성하고 약 2,500만 달러를 탈취했다.

이후 공격자는 발행된 USR을 탈중앙화 거래소에서 USDC와 USDT로 교환하였고, 수익을 ETH로 전환하여 현재 별도의 지갑에 약 2,370만 달러 상당의 11,409 ETH와 110만 달러 상당의 랩드 USR을 보유하고 있습니다.

ETH 및 BTC를 담보로 한 델타 중립 헤징 전략을 사용하는 달러 페깅 스테이블코인 USR이 DEX Screener에 따르면, 최초 민트 후 17분 이내에 가장 유동성이 높은 Curve Finance 풀에서 0.025달러로 폭락했다.

이후 약 $0.85 수준으로 회복했으나 페그를 복원하지는 못했다. 월요일 아침 기준 해당 자산은 $0.27에 거래되며 주간 대비 72% 하락했다.

근본 원인은 Resolv의 초기 발표보다 더 심각한 것으로 드러났습니다. 팀은 이번 사건을 '개인 키 유출' 및 '타겟 인프라 침해'로 설명했습니다.

그러나 온체인 분석가 실제 문제는 구조적인 것이었습니다. 민팅 계약에서 스왑 요청을 완료하는 권한 있는 계정인 SERVICE_ROLE이 다중 서명 계정이 아닌 단일 외부 소유 계정에 의해 관리되고 있었습니다. 해당 계약에는 오라클 검사, 금액 검증 및 최대 민팅 한도가 없었습니다.

공격자는 100,000 USDC를 예치하고 약 500배에 달하는 5,000만 USR을 받았습니다. 이는 시스템 내에서 해당 비율의 타당성을 검증하는 절차가 없었기 때문입니다.

대부분의 스마트 계약에 있어 이러한 설정은 이상한 일이 아닙니다," 암호화 키 관리 업체 Sodot의 창립자 이도 소퍼(Ido Sofer)가 코인데스크에 전했다. "거래 명세에 권한을 가진 키가 존재하는데, 특히 이번 경우 민팅 권한에 관련된 키가 종종 간과되고 있습니다. 이 단일 실패 지점은 내부 및 외부 위협에 매력적인 표적이 됩니다.

"이는 보안 팀의 사각지대인 민감한 키와 자격 증명을 노리는 공격이 증가하는 추세와 연결됩니다. 이러한 키와 자격 증명은 직접적으로 자금을 보유하지는 않지만, 자금에 접근하는 데 사용될 수 있습니다. 여기에는 개발자 자격 증명, 거래 API 키, 그리고 기타 배포 키가 포함됩니다,"라고 그는 덧붙였습니다.

DeFiLlama 데이터에 따르면 Resolv의 TVL은 2025년 2월에 약 6억 8,400만 달러로 정점을 찍은 후, 해킹 이전까지 연중 감소하여 약 9,500만 달러에 이르렀습니다.
Resolv 측은 법 집행 기관 및 온체인 분석 업체와 협력 중이며, "자산 회복을 위해 가능한 모든 수단을 강구할 것"이라고 밝혔습니다.

팀은 복구 조치가 시행되는 동안 USR 거래를 강력히 자제할 것을 권고했으며, "사후 악용 기간 동안 사용자의 행동이 복구에 영향을 미칠 수 있다"고 덧붙였다.

정정: 06:39 UTC: 이전 버전에서는 제목과 본문에서 손실액을 8,000만 달러로 잘못 기재하였습니다