온체인 자산운용사 kpk가 리졸브(Resolv) 프로토콜에서 발생한 해킹 사건에도 불구하고 고객의 자산 손실을 방어했다. 이번 해킹으로 추산된 피해 규모는 약 2,300만 달러(한화 약 345억 원)로, kpk는 고객에게 어떠한 손실도 발생하지 않았다고 밝혔다.

리졸브 생태계의 핵심 스테이블코인인 USR은 급격한 가격 하락을 겪으며 여러 디파이(DeFi) 프로토콜에 연쇄적인 영향을 미쳤다. kpk가 관리하는 모포(Morpho) 플랫폼의 일부 수익형 볼트(vault)에서도 리졸브 관련 토큰에 제한적 노출이 있었던 것으로 나타났다.

kpk는 26일(현지시간) “위험을 감지하자마자 해당 마켓의 리스크 허용치를 0으로 설정하고 신규 자산 배분을 즉시 차단했다”며 “모든 이더리움(ETH) 자금은 전량 회수됐으며, 고객 손실은 전혀 발생하지 않았다”고 강조했다. 이로 인해 디파이 구조에서 스테이블코인과 수익형 상품 간의 리스크 관리의 중요성이 다시 한번 부각됐다.

리졸브의 USR은 일반적으로 1달러에 연동되도록 설계되었으나, 24일에는 한때 0.2달러까지 급락하는 사태가 발생했다. 해커는 20만 달러 미만의 담보로 약 8,000만 개의 USR 토큰을 발행하고, 이를 스테이킹한 후 다시 서클의 스테이블코인인 USDC로 교환하여 약 2,300만 달러를 획득한 것으로 알려졌다.

이번 사건은 디파이의 상호운용성 구조가 효율적이면서도 동시에 위험 요소가 될 수 있음을 시사한다. 한 프로토콜에서 발생한 가격 왜곡과 유동성 충격이 다른 프로토콜로 빠르게 전이되면서 kpk 외에도 여러 프로젝트가 영향을 받은 것으로 분석됐다.

또한 모포 큐레이터로서 풀(볼트)을 구성한 가운틀렛(Gauntlet), Re7 랩스(Re7 Labs), 나인서밋(9summits) 역시 리졸브와의 연결 고리를 가졌던 것으로 보인다. kpk는 사후 보고를 통해 "정확히 같은 블록에서 자동으로 대응이 이뤄졌고, 수동 개입이 필요 없었다”고 전하면서, 인프라가 스트레스 상황에서도 정상적으로 작동했다고 설명했다.

하지만 이번 기술적 사고를 계기로 kpk는 감시 체계를 강화하고 보안 장치를 보완하겠다고 밝혔다. 향후 자동화 트리거를 더욱 신속하게 설정하고, 보안 경고 서비스와의 연동을 개선하는 등 비상 대응력을 높일 계획이다. 현재는 이더리움 수익형 볼트 예치도 재개된 상태다.

이번 사건은 디파이 투자자들에게 불확실성과 리스크를 재확인하는 계기가 되었다. 공격자가 사용한 높은 수준의 자동화는 디파이의 복잡성을 더욱 부각시키며, 투자자들은 스테이블코인이라도 페그가 무너질 가능성을 감안하여, 담보 구조와 민팅 메커니즘, 유동성 깊이 등을 신중히 점검할 필요가 있다.