리졸브(Resolv) 스테이블코인 USR이 약 2300만 달러 규모의 해킹 사고를 겪은 후, 디파이(DeFi) 시장 전반에 걸쳐 충격이 확산되고 있다. 단일 프로젝트의 사고가 연쇄적인 청산 및 유동성 고갈을 초래하는 '전염(contagion)' 현상이 나타났다는 평가가 지배적이다.

이번 사건의 핵심은 USR의 '디페깅(depeg, 1달러 고정 붕괴)' 이후 일부 트레이더들이 이를 담보로 활용해 다양한 수익형 볼트(yield vault)에서 유동성을 인출한 데 있다. 여기에 자동화된 자금 배분 기능이 오작동하여 손실이 심화되었고, “사후 위험 등급 평가 및 큐레이터 책임 논의가 있었지만 상황이 크게 개선되지 않았다”는 비판도 나오고 있다.

해킹의 원인은 프라이빗키 탈취로, 이에 따라 약 8000만 달러 규모의 '무담보 USR'이 무단으로 발행되었다. 리졸브랩스(Resolv Labs)는 해킹 이전에 유통된 USR 물량의 담보는 여전히 완전하게 뒷받침된다고 주장하고 있으나, 공격자가 발행한 USR을 시장에 던지면서 탈중앙화 거래소(DEX) 유동성 공급자(LP)가 직접적인 피해를 입었다.

예를 들어, 커브파이낸스(Curve Finance) 내 LP의 손실만 해도 약 1700만 달러로 추정된다. 현재 코인마켓캡 기준 USR은 0.23달러 수준에 거래되고 있으며, 보안업체 비오신(Beosin)은 공격자의 수익을 1만1409 이더리움(ETH)으로 추정하고 있다.

사태가 심각해진 배경은 '디페깅된 USR'을 담보로 삼아 다른 자산을 대출받을 수 있는 구조적 허점에 있다. 일부 볼트는 하드코딩된 가격 오라클(oracle)이나 경직된 평가 로직을 사용해 누군가 싸게 매수한 USR을 여전히 1달러로 간주하여 다른 자산을 대출받는 방식으로 볼트의 유동성을 고갈시켰다.

여기에 '리스크 큐레이터(risk curator)'가 운용하는 자동화 전략이 작동하면서 손실이 더욱 확대되었다. 유동성이 부족해질수록 대출 시장의 이용률이 급증하자 공급 수익률이 상승했고, 자동 배분 모듈이 이 '깨진 시장'에 자금을 밀어 넣었다는 설명이 뒤따른다. 카오스랩스(Chaos Labs)의 오머 골드버그는 모포(Morpho)의 퍼블릭 얼로케이터를 통해 여러 프로토콜이 수백만 달러 규모의 자산을 자동으로 투입했다고 전했다.

이번 사건의 피해 규모와 교훈으로는 상호운용성의 '양날의 검'이 다시 한 번 드러난 것이다. 프로토콜별 영향을 살펴보면, 예른(Yearn)은 손실이 377달러로 미미한 반면, 인버스파이낸스(Inverse Finance)는 DOLA 담보가 간접 노출로 인한 34만 달러의 손실을 보전하겠다고 발표했다. 비너스프로토콜(Venus Protocol)과 리스트a(Lista) 등은 USR 관련 시장을 일시 중단했다.

디파이의 강점인 '상호운용성'이 위기 상황에서는 연쇄 붕괴를 초래하는 등 상당한 위험 요소로 작용하였으며, 큐레이터가 '스킨 인 더 게임'을 적용하여 책임을 강화하는 구조에 대한 논의가 필요하다는 지적이 이어지고 있다.