Resolv의 USR 스테이블코인 발행 시스템의 주요 취약점이 resolv 해킹을 촉발하여 여러 상호 연결된 DeFi 플랫폼 전반에 걸쳐 심각한 시장 혼란을 초래했습니다.
Summary
USR 스테이블코인 공격이 어떻게 전개되었는가
일요일, 정교한 공격자가 Resolv의 USR 발행 인프라를 표적으로 삼아 약 8천만 개의 담보 없는 토큰을 생성하여 프로토콜에서 약 2,500만 달러 상당의 이더 (ETH)를 유출시켰습니다. 이 공격은 스테이블코인의 발행 논리의 단일 약점이 어떻게 더 넓은 시장 위기로 이어질 수 있는지를 강조했습니다.
악의적인 활동은 UTC 2:21 a.m.경에 시작되었으며, 범죄자는 Resolv의 USR 카운터 계약에 100,000 USDC를 입금했습니다. 그 대가로 공격자는 약 50백만 USR이라는 비정상적인 양을 받았으며, 이는 합법적인 양의 약 500배에 해당합니다. 이후의 거래는 추가로 30백만 개의 토큰을 생성했습니다. 이러한 행동들은 대응하는 담보 없이 USR의 공급을 부풀렸습니다.
무단 발행 후, 공격자는 사기성 USR을 여러 탈중앙화 거래소에서 USDC 및 USDT로 체계적으로 교환했습니다. 또한, 공격자는 수익을 ETH로 통합했습니다. 온체인 데이터에 따르면, 공격자의 지갑에는 현재 11,409 ETH가 있으며, 이는 현재 시장 가격으로 약 2,370만 달러에 해당합니다.
Curve에서의 심각한 디페깅과 USR 보유자들의 큰 손실
USR은 $1 가격 페그를 유지하도록 설계되었으나 거의 즉각적인 붕괴를 경험했습니다. 첫 번째 비정상적인 발행 후 17분 만에 토큰은 Curve Finance에서 $0.025로 폭락했습니다. 그러나 가격은 곧 부분적으로 회복되어 약 $0.85까지 반등했지만, 일요일 아침 내내 깊이 디페깅된 상태로 남아 있었습니다.
Resolv Labs는 X에서 모든 프로토콜 운영을 중단했다고 발표했습니다. 팀은 담보 풀은 “완전히 온전하다”고 강조하며 “기초 자산은 손상되지 않았다”고 주장하며 문제를 “USR 발행 메커니즘에 국한된 것”으로 설명했습니다. 그럼에도 불구하고 시장 반응은 사용자들이 안심하지 못했음을 나타냈습니다.
블록체인 분석가들은 빠르게 기존 USR 보유자들이 피해의 주된 원인이 되었음을 지적했습니다. 갑작스러운 8천만 개의 새로운 토큰 유입은 유통 공급을 대폭 희석시켰습니다. 게다가, 공격자의 공격적인 판매는 사용 가능한 풀에서 유동성을 고갈시켰습니다. 사건 중 USR을 보유한 투자자들은 즉각적이고 상당한 포트폴리오 손실을 겪었습니다.
프로토콜 특권 계정 침해와 발행 안전장치
보안 연구원들은 곧 이 공격을 중요한 접근 제어로 추적했습니다. 블록체인 보안 분석가 Andrew Hong은 침해의 기원을 SERVICE_ROLE로 지정된 특권 계정에서 식별했습니다. 이 매우 민감한 역할은 더 안전한 다중 서명 지갑 구조가 아닌 단일 외부 소유 계정에 의해 관리된 것으로 추정됩니다.
USR 발행 계약은 강력한 오라클 검증, 적절한 금액 검증, 최대 발행 한도와 같은 주요 보호 장치가 부족한 것으로 보고되었습니다. 그러나 이 설계 약점은 특권 자격 증명의 노출이라는 더 깊은 운영 실패와 상호 작용했을 수 있습니다. 이 사건은 거버넌스 역할이 적절히 강화되지 않으면 단일 실패 지점이 될 수 있음을 강조했습니다.
이전에 2025년 7월 Resolv의 스테이킹 모듈을 감사한 보안 회사 Pashov는 Cointelegraph에 근본 원인이 핵심 아키텍처 설계의 결함이 아닌 개인 키 침해로 보인다고 말했습니다. 그럼에도 불구하고, 회사는 키 관리 및 운영 보안 관행이 엄격하지 않으면 잘 감사된 프로토콜도 취약할 수 있음을 강조했습니다.
Cyvers의 CEO Deddy Lavid는 감사만으로는 완전한 안전을 제공할 수 없다고 경고했습니다. “감사만으로는 충분하지 않습니다. 실시간으로 발행 및 공급을 모니터링하지 않으면 가장 중요한 순간에 눈이 멀게 됩니다,”라고 그는 말하며 특권 행동의 지속적이고 자동화된 모니터링의 필요성을 강조했습니다.
광범위한 감사, 버그 바운티, 실시간 모니터링의 격차
Resolv의 공식 문서에는 5개의 별도 보안 회사가 수행한 14개의 감사 참여가 나열되어 있습니다. 이 프로젝트는 또한 Immunefi에서 $500,000의 버그 바운티 프로그램을 광고하고 있으며, 지속적인 스마트 계약 감시 시스템을 운영하고 있습니다. 그러나 성공적인 공격은 단일 운영 실수가 광범위한 보안 투자를 무력화할 수 있음을 보여줍니다.
업계 관찰자들은 손실 규모가 더 넓은 추세와 일치한다고 지적했습니다. 최근 Immunefi 보고서에 따르면 평균 암호화폐 해킹은 약 $25 million의 피해를 초래한다고 합니다. 게다가, 2024–2025년 동안의 다섯 가지 주요 공격은 부문 전체에서 도난당한 총 가치의 62%를 차지하여 지속적인 위험 집중을 강조합니다.
이러한 배경에서, resolv 해킹은 사전 배포 감사 및 버그 바운티의 한계를 보여주는 사례 연구로 작용합니다. 유사한 사건을 방지하기 위해서는 지속적인 온체인 감시, 강화된 키 관리, 특권 역할에 대한 엄격한 통제가 점점 더 필요해 보입니다.
DeFi 전염 효과와 플랫폼 수준의 대응
이 공격은 더 넓은 DeFi 생태계에 빠르게 파급되었습니다. 수많은 플랫폼이 USR 및 관련 자산에 대한 노출을 평가하고 줄이기 위해 움직였습니다. 또한, 사용자 공황을 제한하고 추가적인 시스템적 스트레스를 예방하기 위해 공개 업데이트를 발표했습니다.
Lido는 Lido Earn에 예치된 사용자 자금이 안전하며 사건에 직접적인 영향을 받지 않았음을 확인했습니다. Aave의 창립자 Stani Kulechov는 대출 프로토콜이 USR에 직접적인 노출이 없다고 밝혔습니다. 그는 또한 Resolv가 미지급 부채를 적극적으로 상환하고 있다고 말하며, 파급 효과를 억제하기 위한 협력된 노력을 시사했습니다.
대출 최적화 플랫폼 Morpho의 공동 창립자 Merlin Egalite는 특정 금고만이 USR에 노출되었으며 전체 플랫폼은 아니라고 명확히 했습니다. 그러나 이러한 표적화된 위험은 특정 풀과 그 유동성 공급자에게 여전히 도전 과제를 제기하여 빠른 거버넌스 및 위험 매개변수 검토를 촉발했습니다.
레버리지 거래와 대출 시장의 스트레스
USR과 그 스테이킹 파생상품 wstUSR는 Morpho 및 Gauntlet을 포함한 여러 프로토콜에서 담보로 승인되었습니다. 시장 분석가들은 기회주의적 거래자들이 USR을 저렴한 가격에 매입한 후 이를 담보로 사용하여 거의 $1의 평가로 USDC를 차입한 것으로 보인다고 보고했습니다.
이 전략은 시장 가격과 담보 평가 사이에 위험한 불일치를 초래했습니다. 그 결과, 영향을 받은 금고는 스테이블코인 준비금이 고갈되었으며, 그 대출을 뒷받침하는 담보의 실제 가치는 이미 붕괴되었습니다. 그럼에도 불구하고, 일부 플랫폼의 위험 엔진과 오라클은 시간이 지남에 따라 장기적인 피해를 완화하기 위해 조정될 수 있습니다.
Resolv의 주니어 보험 트랜치 토큰인 RLP도 잠재적인 자본 손실에 직면했습니다. Stream Finance는 약 1,360만 RLP를 보유하고 있으며, 이는 약 1,700만 달러의 가치가 있으며, 이는 예금자 기반에 추가적인 손실을 전파할 수 있습니다. 게다가, Stream은 이전에 2025년 11월에 9,300만 달러의 손실을 공개했으며, 이는 사용자에 대한 복합 위험에 대한 우려를 증가시킵니다.
즉각적인 여파로, RESOLV 거버넌스 토큰은 24시간 동안 약 8.5% 하락했습니다. 이 하락은 프로토콜의 지급 능력에 대한 직접적인 우려와 플랫폼의 보안 아키텍처 및 운영 회복력에 대한 더 넓은 의심을 반영했습니다.
resolv usr 발행 버그의 더 넓은 의미
USR 스테이블코인 취약성에 의해 촉발된 resolv 해킹은 프로토콜 특권 계정 침해와 실시간 모니터링 부족의 조합이 광범위한 보안 준비를 어떻게 무너뜨릴 수 있는지를 보여줍니다. 또한, 주요 유동성 장소에서의 디페깅 사건이 대출, 스테이킹 및 보험 계층 전반에 걸쳐 담보 손상을 신속하게 가할 수 있음을 강조합니다.
앞으로 스테이블코인 발행자와 DeFi 프로토콜은 키 관리, 담보 검증 및 온체인 위험 감시에 대한 새로운 검토를 받을 가능성이 높습니다. 요약하자면, Resolv 사건은 발행 및 특권 접근에 대한 철저한 통제가 없으면, 심지어 철저히 감사된 시스템도 치명적인 방식으로 실패할 수 있다는 업계에 대한 어려운 교훈을 강화합니다.
