Resolv의 USR 스테이블코인은 한 공격자가 프로토콜의 발행 컨트랙트 취약점을 악용해 담보가 없는 토큰 약 8천만 개를 발행하고 약 2,500만 달러 상당의 Ether (ETH)를 빼내가면서 달러 페그를 잃고 72% 급락해 0.27달러까지 떨어졌다. 그 결과 이 프로젝트는 자산 9,500만 달러, 부채 1억7,300만 달러 수준으로 사실상 지급불능 상태에 놓였다.
발행 컨트랙트 취약점 공격
여러 온체인 데이터와 블록체인 보안 업체들에 따르면, 이번 공격은 일요일 오전 2시 21분(UTC)경 발생했으며, 공격자는 두 건의 트랜잭션을 사용해 적절한 담보 없이 약 8천만 개의 USR 토큰을 발행했다.
이후 공격자는 발행한 USR를 탈중앙화 거래소에서 USDC (USDC)와 USDT (USDT)로 교환한 뒤, 이를 ETH로 전환했다. 현재 공격자는 별도의 지갑에 약 2,370만 달러 상당의 11,409 ETH와 110만 달러 상당의 래핑된 USR를 보유하고 있다.
USR는 ETH와 Bitcoin (BTC)을 담보로 한 델타 중립 헤지 전략에 의존하는 달러 페그 스테이블코인인데, 첫 발행 트랜잭션이 발생한 지 17분 만에 가장 유동성이 높은 Curve Finance 풀에서 가격이 0.025달러까지 하락했다.
이후 가격은 약 0.85달러 수준까지 회복했지만, 아직 페그를 완전히 회복하지는 못했다.
또 읽어보기: Trump's 48-Hour Iran Warning: What It Did To BTC, ETH And XRP
구조적 설계 실패
온체인 분석가들은 Resolv가 처음에 “개인 키 탈취”와 “인프라에 대한 표적 공격”이라고 설명한 것보다 문제의 근본 원인이 훨씬 깊다고 지적했다.
민팅 컨트랙트에서 스왑 요청을 최종 실행하는 특권 계정인 SERVICE_ROLE이 멀티시그가 아닌 단일 외부 소유 계정(EOA)에 의해 통제되고 있었던 것이다. 해당 컨트랙트에는 오라클 검증, 수량 검증, 최대 발행 한도 등이 전혀 없었고, 이 때문에 공격자는 10만 USDC만 예치하고도 원래 받을 수 있는 양의 약 500배에 해당하는 5,000만 USR를 발행할 수 있었다.
복구 가능성
DeFiLlama 데이터에 따르면 Resolv의 예치 자산(TVL)은 2025년 2월 약 6억8,400만 달러로 정점을 찍은 뒤, 이번 공격 직전에는 약 9,500만 달러 수준으로 감소해 있었다.
Resolv 측은 수사 기관 및 온체인 분석 업체들과 공조해 “자산 회수를 위한 가능한 모든 방안을 추적할 것”이라고 밝혔다. 또 팀은 복구 조치가 진행되는 동안 USR 거래를 자제할 것을 강력히 권고하면서, “공격 이후 기간 동안 사용자의 행동이 복구 결과에 영향을 미칠 수 있다”고 덧붙였다.
다음 읽기: Bitcoin's S&P 500 Correlation Just Flashed A Crash Warning