20만 달러 투입해 8,000만 달러 규모 부정 발행… 수익률 400배의 비극
스마트 컨트랙트 결함 아닌 ‘인프라 키 탈취’로 드러나
Resolv USR / coinmarketca
이더리움 기반의 스테킹 담보형 스테이블코인 USR가 대규모 보안 사고에 휘말리며 가상자산 시장에 큰 파장을 일으키고 있다. 1달러 가치를 유지해야 할 USR는 해킹 직후 17분 만에 2.5센트까지 폭락하며 디파이(DeFi) 생태계의 구조적 취약성을 다시 한번 드러냈다.
■ ‘500배 오발행’의 전말: 무너진 검증 로직
지난 22일(현지시간), 리졸브 랩스(Resolv Labs)의 프로토콜에서 총 8,000만 개에 달하는 비정상 USR 토큰이 생성되는 초유의 사태가 발생했다. 온체인 분석 업체 D2 파이낸스와 픽실드(PeckShield)에 따르면, 공격자는 ‘USR 카운터’ 컨트랙트의 취약점을 정밀하게 공략했다.
공격자는 약 10만 달러 상당의 USDC를 예치한 후, 트랜잭션 완료 단계(completeSwap)에서 목표 발행량(_targetAmount) 필드를 임의로 조작했다. 정상적인 1대1 발행 원칙이 무너지고 예치액의 500배에 달하는 코인이 발행된 것이다. 체이널리시스는 보고서를 통해 "공격자가 서비스 권한을 가진 서명 키를 탈취해 과도한 출력값을 승인하게 만들었다"며, 단순한 코드 버그를 넘어선 운영 보안(OPSEC)의 치명적 결함을 지적했다.
아캄(Arkham) 데이터에 기록된 해커의 동선. 10만 달러(USDC)를 예치하자마자 약 3,000만 개의 USR이 부정 출력된 과정이 선명하다. / 아캄 인텔리전스
■ 17분 만에 증발한 신뢰, ‘교과서적 엑시트’에 속수무책