2026년 3월 22일, 리졸브(Resolv) 프로토콜의 SERVICE_ROLE 키가 탈취되어 약 8,000만 USR이 무담보로 발행되었다. 공격자는 약 30만 USDC 만으로 이를 수행, 약 2,380만 달러 상당의 ETH를 확보한 뒤 이탈했다.
해킹 자체보다 더 주목할 점은, 해킹 이후에도 몰포(Morpho)의 퍼블릭 얼로케이터(Public Allocator)가 자동으로 피해 마켓에 USDC를 공급하며 공격자에게 추가 출구 유동성을 제공했다는 것이다. 하드코딩된 오라클이 USR을 여전히 1달러로 평가한 탓에, 디페깅된 USR을 담보로 한 차입이 계속 이루어졌고, 결과적으로 큐레이터 볼트에서 약 620만 달러의 USDC가 추가 유출되었다.
리졸브의 리스크 매니저로 선임된 스테이크하우스(Steakhouse)는 해킹 수일 전 "제도적 엄격함"을 갖추고 있다는 긍정적 평가를 발표했다. 이 평가가 다른 큐레이터들의 리졸브 관련 시장 노출 확대에 영향을 미쳤을 가능성이 있으며, 정작 스테이크하우스 자신은 해당 프로토콜에 직접 노출이 없었던 반면, 평가를 참고한 다른 볼트에서 실질적 손실이 발생했다.
리졸브가 해킹 인지 후 프로토콜을 일시 중지하는 데 약 3시간이 소요되었다는 사실은, 사후 대응 중심의 보안 체계가 갖는 한계를 명확히 드러낸다. 일회성 스마트 컨트랙트 감사만으로는 키 탈취와 같은 운영 보안 위협을 방어할 수 없으며, 실시간 모니터링 서비스와 추가적인 보안 체계를 통해 이상 징후 감지 시 자동으로 프로토콜을 일시 중지하는 연속적 보안 체계의 도입이 필수적이다.
2026년 3월 22일 새벽, 리졸브 프로토콜이 해킹되었다. 리졸브는 ETH, stETH, BTC 등의 암호자산을 담보로 USR이라는 달러 페그 스테이블코인을 발행하는 프로토콜로, 델타 뉴트럴 전략을 기반으로 수익을 창출하는 구조를 갖고 있었다. 해킹 직전 USR의 총 공급량은 약 1억 200만 개였으며, 프로토콜이 관리하는 자산 규모는 약 1억 4,100만 달러에 달했다.
Source: USR Counter (etherscan)
사건의 시작은 리졸브의 민팅(minting) 메커니즘에 있다. 리졸브에서 USR을 발행하려면 두 단계를 거쳐야 한다. 먼저 사용자가 requestSwap() 함수를 호출하여 USDC 등의 토큰을 예치하고, 이후 SERVICE_ROLE이라는 권한을 가진 계정이 completeSwap() 함수를 호출하여 발행할 USR의 수량을 결정한다. 문제는 이 두 번째 단계에서 발행 수량에 대한 온체인 검증이 전혀 이루어지지 않았다는 것이다. 예치된 USDC의 양과 발행될 USR의 양 사이의 비율을 스마트 컨트랙트 차원에서 검증하는 로직이 존재하지 않았으며, 이 결정은 전적으로 오프체인에서 이루어졌다.
Source: USR Counter (etherscan)
공격자는 탈취한 SERVICE_ROLE 키를 이용하여 이 구조적 공백을 악용했다. 온체인 기록을 살펴보면, 공격자는 총 세 건의 requestSwap() 트랜잭션을 통해 각각 10만 USDC를 예치했다. 그리고 completeSwap() 단계에서 첫 번째 요청에 대해 약 5,000만 USR, 세 번째 요청에 대해 약 3,000만 USR을 발행했다. 단 30만 USDC로 약 8,000만 USR을 만들어낸 것이다. 흥미로운 것은 두 번째 요청(id=31)은 공격자가 아닌 일반 사용자의 것이었는데, 이 요청에서는 정상적으로 약 10만 USR만 발행되었다는 점이다. 이 사실은 공격자가 시스템을 선택적으로 조작할 수 있었음을 보여준다.
발행된 무담보 USR은 빠르게 현금화되었다. 공격자는 주로 커브 파이낸스(Curve Finance)의 USR/USDC 풀에 대량의 USR을 덤핑하여 USDC로 전환한 뒤, 이를 다시 ETH로 교환했다. 온체인 데이터에 따르면 공격자는 약 11,400 ETH(약 2,380만 달러 상당)를 확보한 것으로 추정된다. USR의 가격은 소스에 따라 0.14달러(한때 $0.025까지 하락)에서 0.25달러 사이까지 급락한 것으로 관측되었으며, 이후 약 0.42달러 선까지 회복되었으나 달러 페그는 완전히 무너졌다.
리졸브 랩스(Resolv Labs)는 사건 발생 후 약 3시간이 지나서야 프로토콜을 일시 중지할 수 있었다. 이 지연의 상당 부분은 멀티시그(multisig) 서명 수집 과정에서 발생했다. 일시 중지 트랜잭션을 제출한 시점부터 필요한 4개의 서명을 모으는 데만 약 1시간이 소요되었다는 점이 이를 뒷받침한다. 리졸브 측은 기저 담보 자산 자체는 손상되지 않았으며 피해가 USR 발행 메커니즘에 국한되어 있다고 밝혔고, 해킹 이전에 발행된 USR에 대한 상환을 3월 23일부터 시작할 것이라 공지했다.
이번 사건의 근본 원인은 비교적 단순하다. 수천만 달러 규모의 민팅 권한을 가진 SERVICE_ROLE이 단일 EOA(Externally Owned Account), 즉 하나의 개인키로 제어되는 계정에 부여되어 있었다는 점이다.
즉, 하나의 개인키만 있으면 완전한 통제가 가능했다. 리졸브의 프로토콜 일시 중지 기능에는 멀티시그가 적용되어 있었으면서, 정작 자산의 발행에 관여하는 핵심 권한에는 단일 EOA가 사용되었다는 것은 보안 설계의 명백한 불균형이다.
나아가, 온체인 수준의 가드레일이 전무했다는 점도 간과할 수 없다. 일반적으로 이러한 류의 프로토콜이 갖추어야 할 최소한의 안전장치들은 단일 트랜잭션당 발행 한도, 예치 금액 대비 발행 금액의 비율 검증, 오라클 가격 기반의 발행량 교차 검증 등이 있으나, 이 중 어느 것도 구현되어 있지 않았다. SERVICE_ROLE을 가진 계정은 사실상 어떤 금액이든 제한 없이 발행할 수 있는 권한이 부여되어 있었던 것이다.
이번 사건에서 가장 주목할 부분은 해킹 자체가 아닌, 해킹 이후 몰포 프로토콜의 자동 유동성 배분 메커니즘이 작동하며 피해를 증폭시킨 과정이다. 다만 이 피해 증폭의 메커니즘을 정확히 이해하려면, 인과관계의 계층을 먼저 구분할 필요가 있다.
피해 증폭은 단일 원인이 아닌 세 가지 요인의 결합으로 발생했다.
첫째, 하드코딩된 오라클의 실패가 필요조건으로 작용했다. 디페깅된 USR을 여전히 1달러로 평가하는 오라클이 없었다면, 시장에서 $0.14~$0.25에 거래되는 USR을 담보로 넣어도 차입 가능 금액은 실제 시장가치에 비례하여 제한되었을 것이다. 오라클이 시장 가격을 정상 반영했다면, 퍼블릭 얼로케이터가 아무리 유동성을 공급하더라도 담보 가치가 정확히 평가되므로 부실 대출 자체가 성립하지 않는다.
둘째, 퍼블릭 얼로케이터가 피해 규모를 증폭시켰다. 오라클 실패가 부실 대출의 가능성을 열었다면, 퍼블릭 얼로케이터는 그 가능성이 실현될 수 있는 자본의 총량을 확대했다. 해당 마켓에 기존에 예치된 유동성만 존재했다면 피해는 그 범위 내로 제한되었겠지만, 퍼블릭 얼로케이터가 다른 볼트의 유동성을 끌어옴으로써 피해 규모가 620만 달러까지 확대되었다.
셋째, 차익거래자들이 이 구조를 실제로 이용하여 차입을 실행했다. 퍼블릭 얼로케이터는 유동성을 공급했을 뿐, 차입을 강제하지는 않았다.
이 구분이 중요한 이유는 대응책의 우선순위에 직접적으로 영향을 미치기 때문이다. 퍼블릭 얼로케이터에 안전장치를 추가하는 것도 필요하지만, 오라클이 극단적 상황에서도 실시간 시장 가격을 반영하도록 개선하는 것이 부실 대출 발생 자체를 차단하는 보다 근본적인 해법이다.
인과 구조를 이해한 위에서, 실제 작동 메커니즘을 살펴보자.
몰포는 분리된 시장구조를 가진 탈중앙 대출 프로토콜이다. 각 대출 시장은 하나의 담보 자산과 하나의 대출 자산으로 구성되며, 시장 간 리스크가 전파되지 않도록 설계되어 있다. 이 분리된 시장들 위에 메타몰포 볼트(MetaMorpho Vault)라는 레이어가 존재하는데, 이는 여러 시장에 걸쳐 자금을 배분하여 예금자들에게 최적화된 수익률을 제공하는 일종의 펀드와 같은 역할을 한다. 이 볼트의 자금 배분은 큐레이터(curator)라 불리는 주체가 관리한다.
퍼블릭 얼로케이터는 이 볼트 구조에서 유동성 파편화 문제를 해결하기 위해 도입된 기능이다. 몰포의 분리된 시장 구조는 리스크 격리라는 중요한 장점을 제공하지만, 유동성이 개별 마켓에 파편화되는 비용을 수반한다. 특정 마켓에서 대출 수요가 급증하면 이자율이 급등하고, 다른 마켓에는 유휴 유동성이 방치된다. 퍼블릭 얼로케이터는 이 비효율을 해소하여, 누구든 호출하여 다른 시장에 유휴 상태로 있는 유동성을 수요가 있는 시장으로 재배분할 수 있게 해준다. 예금자의 수익률을 개선하고 차입자의 비용을 절감하는 이 기능은, DeFi 렌딩 프로토콜의 자본 효율성에 직결되는 핵심적 역할을 수행한다. 큐레이터가 사전에 설정한 한도(flow cap) 내에서만 작동하므로, 이론상으로는 안전장치가 갖춰져 있는 셈이다.
그런데 이번 사건에서 이 메커니즘이 어떻게 작동했는지를 보면, 설계 의도와는 정반대의 결과가 나타났다. 평상시 자본 효율성을 높이던 동일한 메커니즘이, 위기 시에는 한 마켓의 부실을 다른 볼트로 전파하는 채널로 변모했다. 분리된 시장 구조가 제공하는 리스크 격리의 이점을 퍼블릭 얼로케이터가 사실상 무력화시킨 것이다.
USR이 디페깅된 이후, 차익거래자들은 시장에서 폭락한 가격에 USR을 매입하여 몰포의 wstUSR/USDC 시장에 담보로 제공하고, 하드코딩된 오라클이 USR을 여전히 1달러로 평가하는 것을 이용하여 USDC를 대출받았다. 대출 수요가 급증하자 퍼블릭 얼로케이터가 활성화되었고, 건틀렛(Gauntlet)을 비롯한 여러 큐레이터의 볼트에서 USDC가 자동으로 이 시장에 공급되기 시작했다.
카오스 랩스(Chaos Labs)의 창립자 오메르 골드버그(Omer Goldberg)의 분석에 따르면, 해킹이 발생한 UTC 기준 2시 20분 이전까지 해당 시장에서 USR 담보 대출로 발생한 미상환 USDC는 약 4,900달러에 불과했다. 그러나 건틀렛의 자동 배분이 2시 41분에 시작된 이후, 약 90분 동안 대출자들이 각 배분 직후마다 즉시 차입 요청을 실행하는 패턴이 반복되었다. 일부 큐레이터는 이를 인지하고 중단했으나, 9summits와 같은 큐레이터는 약 10시간 동안 공급을 지속했다. 결과적으로 해킹 이후 큐레이터들의 볼트를 통해 약 620만 달러의 USDC가 피해 시장으로 추가 공급되었으며, 이 중 96%가 건틀렛의 볼트에서 유출되었다.
그렇다면 여기서 퍼블릭 얼로케이터는 평상시의 자본 효율성과 위기 시의 리스크 전파 사이에서 어떤 균형점을 취해야 하는가? 이 메커니즘을 제거하는 것은 해답이 아니다. 정상 작동 시의 가치가 명확하기 때문이다. 현실적인 대안은 이상 상황을 감지하는 조건부 안전장치를 추가하는 것이다. 예를 들어, 특정 마켓에서 단시간 내에 차입률(utilization rate)이 급격히 상승하거나, 담보 자산의 외부 시장 가격과 오라클 가격 사이에 유의미한 괴리가 감지될 경우 해당 마켓으로의 자동 재배분을 일시 중지하는 로직을 고려할 수 있다.
결론적으로, 퍼블릭 얼로케이터를 본질적으로 결함 있는 설계로 보기보다는, 극단적 상황에 대한 안전장치가 결여된 불완전한 설계로 평가하는 것이 정확하다. 비판의 초점은 기능의 존재 자체가 아니라, 위기 시 자동으로 작동을 멈추는 안전장치의 부재에 맞춰져야 한다.
앞서 살펴본 바와 같이 해킹 이후 620만 달러의 추가 유출이 발생했지만, 여기서 특히 주목할 만한 데이터 포인트는 동일한 퍼블릭 얼로케이터 시스템 하에서 큐레이터마다 대응이 극적으로 달랐다는 사실이다. 일부 큐레이터는 이상을 인지하고 공급을 중단했지만, 9summits는 약 10시간 동안 공급을 지속했다. 또한 유출의 96%가 건틀렛의 볼트에서 발생했다.
이 데이터는 두 가지 상반된 해석을 가능하게 한다.
시스템 설계의 관점에서 보면, 일부 큐레이터가 즉시 대응했더라도 다른 큐레이터의 볼트에서 유출이 지속되었다는 것은 개별 큐레이터의 역량에 의존하는 구조 자체가 불안전함을 시사한다. 가장 느린 대응자의 속도가 시스템 전체의 취약성을 결정하기 때문이다. 운영 역량의 관점에서 보면, 동일 시스템을 사용하면서도 결과가 달랐다는 것은 시스템 자체보다 큐레이터별 모니터링 체계, 대응 프로세스, 한도 설정의 보수성 등 운영 수준의 차이가 피해 규모를 결정한 주요 변수였음을 의미한다.
건틀렛이 유출의 96%를 차지한 이유에 대해서는 추가적인 분석이 필요하다. 건틀렛이 가장 큰 한도를 설정해두었기 때문인지, 가장 많은 볼트 자산을 관리했기 때문인지, 아니면 대응이 특별히 느렸기 때문인지에 따라 시사점이 달라진다. 만약 건틀렛의 한도 설정 자체가 다른 큐레이터 대비 과도하게 관대했다면, 이는 퍼블릭 얼로케이터의 설계 문제라기보다 건틀렛의 리스크 파라미터 설정 문제에 더 가깝다.
그렇다면 왜 이렇게 많은 큐레이터들이 리졸브 관련 시장에 자동 공급을 활성화해 두었던 것일까? 여기서 리스크 평가의 역할을 짚어볼 필요가 있다. 디파이 생태계에서 스테이크하우스 파이낸셜은 대표적인 리스크 큐레이터 중 하나로, 몰포 생태계 최대 규모의 볼트 큐레이터이기도 하다. 스테이크하우스는 최근 리졸브의 리스크 매니저로 선임되어 활동을 시작했으며, 골드버그에 따르면 해킹 불과 수일 전 리졸브에 대한 리스크 평가 보고서를 발표한 바 있다.
Source: @omergoldberg
해당 보고서의 내용 자체는 기술적으로 충실한 분석이었다. 리졸브의 투 토큰(two-token) 구조와 델타 뉴트럴 전략의 메커니즘, USR과 RLP 간의 리스크 분배 구조, 담보 풀 운영 방식 등을 상세히 다루었다. 그러나 이 보고서는 이번에 발생한 것과 정확히 같은 유형의 공격 가능성을 다루면서도, 리졸브가 "제도적 엄격함을 보여준다", "위기 상황을 자동화된 메커니즘으로 처리하도록 설계되어 있다", 그리고 "토큰 민팅 및 상환 로직에 검증된 구성요소를 사용한다"라는 결론을 내렸다.
이러한 평가가 다운스트림 생태계에 미치는 영향을 과소평가해서는 안 된다. 리스크 평가는 다른 큐레이터나 운영자들이 해당 자산이나 시장에 대한 노출을 결정할 때 직접적인 참고 자료가 된다. 스테이크하우스와 같은 신뢰도 높은 리스크 큐레이터가 리졸브에 대해 긍정적 평가를 내렸다면, 건틀렛, Re7, kpk, 9summits 등 다른 큐레이터들이 리졸브 관련 시장에 자동 공급을 활성화하는 결정에도 영향을 미쳤을 가능성이 있다.
물론 리스크 평가가 미래의 모든 사건을 예측해야 한다는 것은 아니며, 스테이크하우스의 보고서에 담긴 분석의 질 자체에 하자가 있다고 단정짓기는 어렵다. 다만 "키 탈취" 혹은 "인프라 침해"와 같은 운영 보안 리스크를 다루면서 해당 프로토콜의 실제 보안 구현 수준을 충분히 검증했는지에 대한 의문은 남는다.
USR의 디페깅은 리졸브 프로토콜 내부에 머물지 않았다. USR과 그 파생 토큰인 wstUSR, 그리고 리스크 흡수 토큰인 RLP이 여러 디파이 렌딩 프로토콜에서 담보 자산으로 사용되고 있었기 때문이다.
몰포를 중심으로, 오일러(Euler), 플루이드(Fluid), 리스타 다오(Lista DAO), 인버스 파이낸스(Inverse Finance) 등 다수의 프로토콜이 영향을 받았다. 몰포에서는 약 15개의 볼트가 유의미한 수준의 노출을 보였다. 해킹 이후 USR의 시장 가치가 급락했으나 하드코딩된 오라클은 여전히 USR을 1달러로 평가했기 때문에, 대출 포지션이 사실상 무담보 상태로 전환되면서 부실 채권(bad debt)이 발생했다.
Source: @0xfluid
이번 사건에서 몰포 외부 프로토콜 중 가장 큰 규모의 피해를 입은 것은 플루이드로, 잠재 손실은 약 1,100만 달러 이상으로 추정되었다. 플루이드 팀은 프로토콜 내 부실채권 전액을 커버하기 위한 단기 대출을 확보했다고 발표했다. 사이버펀드(Cyberfund)의 로마슈크(Lomashuk), 웨어미아우(weremeow), 그리고 플루이드 핵심 팀이 자금 확보에 참여했으며, 사용자 자금이 위험에 처하지 않도록 보장한다고 밝혔다. 플루이드 측에 따르면, 리졸브 랩스가 보안 사고 이전에 발행된 모든 USR 포지션을 커버하고 해당 채무 포지션 청산에 필요한 상환을 가능하게 하겠다고 확인했다. 추가 자금이 필요할 경우 복수의 투자자가 트레저리에서 $FLUID 토큰을 매입할 의사를 표명한 상태이다.
플루이드의 공동 창업자 사먁 제인(Samyak Jain)은 커뮤니티 채널을 통해, 프로토콜 트레저리에 최소 600만 달러 이상의 자산이 있으며, 최악의 경우에도 파트너 및 투자자에게 토큰을 소폭 할인과 단기 락업 조건으로 매각하여 손실을 충당할 수 있다고 밝혔다. 그는 1,000만~2,000만 달러 규모의 자금 조달도 큰 문제가 아니며, 프로토콜이 회복할 수 없는 수준의 타격은 아니라는 입장을 내놓았다.
그러나 1,100만 달러는 결코 적은 규모의 손실이 아니다. 트레저리 자산 600만 달러만으로는 부실채권을 완전히 해소할 수 없으며, 부족분을 충당하기 위해 트레저리의 $FLUID 토큰을 할인 매각하는 시나리오가 현실화될 경우, 그 비용은 궁극적으로 시장에서 $FLUID를 보유하고 있는 리테일 토큰 홀더들에게 전가된다. 할인된 가격에 대량의 토큰이 시장에 풀리면 기존 보유자의 지분이 희석되고 매도 압력이 가중되기 때문이다. "사용자 자금에 위험이 없다"는 표현은 예금자(lender)의 원금 보전을 의미하는 것이지, 프로토콜 토큰 보유자의 가치가 보존된다는 뜻은 아니다. 결국 프로토콜 수준의 부실채권이 토큰 희석을 통해 리테일 홀더들에게 사회화되는 구조인 셈이다.
플루이드의 대응은 비교적 신속했고 복수의 자금 조달 경로를 확보하고 있다는 점에서 단기적 위기 관리 역량은 보여주었다. 그러나 본질적으로 이는 팀의 네트워크와 신용에 의존한 사후 수습이라는 점에서, 디파이가 지향하는 신뢰 최소화와는 거리가 있는 복구 방식이라는 한계도 동시에 드러난다.
Source: @InverseFinance
인버스 파이낸스의 경우, 리스크 워킹 그룹(RWG)이 최초 익스플로잇 발생 후 15분 이내에 wstUSR-DOLA FiRM 시장을 일시 중지했다. 당시 해당 시장에서는 루핑된 wstUSR-DOLA LP 포지션을 담보로 약 1,000만 달러 규모의 DOLA 부채가 존재했으나, 청산인(liquidator)들이 이 포지션을 전량 청산하면서 최종 잔여 부실채권은 약 340,060 DOLA로 제한되었다. 인버스 파이낸스 측은 DOLA의 광범위한 담보 기반이 실질적으로 영향받지 않았으며, 해당 사건은 완전히 봉쇄되었다고 밝혔다.
인버스 파이낸스의 사례는 이번 사건의 대응 사례 중 주목할 만한 참조점을 제공한다. 리졸브 자체가 프로토콜 정지에 3시간이 소요된 것과 대비하여 15분 만에 관련 시장을 정지시켰다는 점, 1,000만 달러 규모의 부채 포지션이 존재했음에도 청산 메커니즘이 정상 작동하여 부실채권이 34만 달러 수준으로 억제되었다는 점은 주목할만한 대처 사례로 생각된다.
Source: @yieldsandmore
여기에 스트림 파이낸스(Stream Finance)의 상황이 추가적인 우려를 낳는다. 스트림 파이낸스는 2025년 11월 외부 펀드 매니저의 자산 유용으로 약 9,300만 달러의 손실을 공시한 바 있는 일드 프로토콜이다. 스트림은 몰포에서 약 1,360만 개의 RLP 토큰을 보유하고 있었는데, 이는 해킹 전 가격 기준 약 1,700만 달러의 순 노출에 해당한다. RLP은 리졸브 구조에서 이른바 주니어 트랜치(junior tranche) 역할을 수행한다. 이는 구조화 금융에서 손실이 발생할 때 가장 먼저 손실을 흡수하는 하위 계층을 의미하는 개념으로, 리졸브에서는 RLP 보유자가 USR 보유자를 보호하기 위해 손실을 우선적으로 부담하는 구조이다. 이를 감안하면, 스트림의 예금자들은 불과 수개월 만에 또다시 상당한 손실에 직면할 가능성이 있다.
이번 사건은 몇가지 교훈을 남긴다.
필자는 블록체인 프로토콜의 보안이 스마트 컨트랙트 감사(audit)만으로 충분하지 않다는 점을 여러 차례 강조해왔으며, 온전한 보안을 위해서는 이산적인 오딧보다는 연속적인 모니터링 시스템이 필수적으로 적용되어야 한다고 주장해왔다. 리졸브가 프로토콜을 일시 중지하는 데 3시간이 걸렸다는 사실은 이러한 시스템의 필요성을 다시 한번 강조하는 사례라고 할 수 있다.
이번 사건에 대해 집중적으로 다룬 YieldsAndMore는 "긴급 일시 중지는 단일 서명만으로 가능해야 하며, 이 권한은 가능한 많은 팀원에게 분산되어야 한다"고 제안했으며, 또한 하이퍼네이티브(Hypernative), 헥사게이트(Hexagate) 등의 사전 모니터링 서비스를 활용하여 이상 감지 시 자동으로 프로토콜을 일시 중지하는 구조도 고려할 수 있다고 언급하기도 했다.
이에 더해 큐레이터의 역할에 대한 재정의가 필요하다는 점을 말하고 싶다. 디파이의 모듈형 렌딩 아키텍처에서 큐레이터는 단순히 수익률을 최적화하는 자동 배분기가 아니다. 이들은 자본의 배분에 대한 판단을 행사해야 하는 주체이며, 이를 위해 수수료를 수취한다. 만약 위기 상황에서 큐레이터의 리스크 큐레이션이 적시에 개입하지 못한다면, 이 시스템은 일시 중지 버튼이 달린 스마트 컨트랙트 위에 앉아 수수료를 수취하는 자동 배분기와 실질적으로 다를 바가 없다.
추가로 논의되어야 할 지점은 관리자 권한 탈취 시나리오에 대한 프로젝트 측의 태도이다. 대부분의 프로젝트는 보안 감사 혹은 버그바운티 과정에서 관리자 권한의 탈취를 필요로 하는 공격 시나리오를 "범위 밖(Out of scope)"으로 처리하곤 한다. 관리자가 신뢰할 수 있는 주체라는 전제 하에, 해당 권한이 악용될 시나리오는 검토 대상에서 배제하는 것이다. 그러나 이번 사건이 명확히 보여주듯, 관리자 키는 탈취될 수 있으며 실제로 탈취되었다. 관리자 권한이 침해되더라도 피해를 제한할 수 있는 단계적 방어 메커니즘, 즉 발행 한도, 시간 지연, 비율 검증 등의 가드레일을 두지 않는 것은 설계적 나태라고 할 수 있다.
Source: @ZeroK_____
실제로 이번 리졸브 해킹 사고 이후에도, 유사한 관리자 권한 관련 취약점을 제보했으나 "관리자 권한은 신뢰 전제이므로 유효한 취약점이 아니다"라는 이유로 인정받지 못했다는 사례가 보안 커뮤니티에서 공유되고 있다. "관리자는 신뢰할 수 있다"는 전제 위에 구축된 보안 모델은, 그 전제가 무너지는 순간 모든 것이 무너지는 단일 장애점(single point of failure)에 불과하다.
디파이가 추구하는 핵심 가치 중 하나는 신뢰 최소화이다. 중개자를 신뢰하는 대신 코드를 신뢰함으로써 투명하고 검증 가능한 금융 시스템을 구축하겠다는 것이다. 그러나 리졸브의 사례는 이 약속이 얼마나 쉽게 훼손될 수 있는지를 여실히 보여준다. 온체인에서 검증되지 않는 권한, 위기 시 제대로 작동하지 않는 자동화, 그리고 실제 보안 구현과 괴리된 리스크 평가가 합쳐지면, 프로토콜이 아무리 탈중앙화되어 있다고 주장하더라도 사용자의 자산은 보호되지 않는다.
보안 아키텍처는 현실적으로 구현이 매우 어려운 “해킹이 절대 발생하지 않는 시스템"이 아닌, "해킹이 발생했을 때 피해가 최소화되는 시스템"을 목표로 설계되어야 한다. 이는 단순히 스마트 컨트랙트 감사를 통과하는 것이 아니라, 키 관리 체계, 온체인 가드레일, 긴급 대응 프로세스, 자동화 시스템의 안전장치, 그리고 리스크 평가의 실질적 검증력까지 포괄하는 전방위적 접근을 요구한다. 이번 사건이 업계 전반에 이러한 인식의 전환을 가져올 수 있기를 바란다.
Sui
Hyperliquid
Monad
Rialo
Polymarket