Resolv는 코인 발행 메커니즘 공격 이후에도 담보 자산은 여전히 안전하다고 주장합니다. 올해 초 한때 Resolv의 TVL(프로토콜 내 총 자산 가치)은 5억 달러를 넘어섰습니다. 5개 회사에서 14건의 감사를 진행했고, 최대 50만 달러의 버그 바운티도 제공되었습니다. 프로토콜은 견고하게 구축된 것처럼 보였습니다. 그러다 사건 발생 3~4주 전부터 자금이 조용히, 그리고 점진적으로 4억 달러에서 1억 달러로 줄어들기 시작했고, 일요일 밤 모든 것이 바뀌었습니다. Resolv 프로토콜은 사용자가 자산을 예치하고 수익을 받을 수 있도록 설계된 DeFi(탈중앙화 금융) 프로토콜입니다. Resolv의 USR(보안 보상)은 현금이 아닌 ETH와 비트코인을 담보로 사용하여 안정성을 확보한 스테이블 코인입니다. 2,400만 달러라는 금액보다 더 중요한 의문은 공격 직전에 자금의 75%가 사라진 이유입니다. 14번의 감사를 통과한 시스템에 왜 여전히 그렇게 취약한 부분이 있었을까요? 1) 2025년 4월 - 아부다비에 본사를 둔 Resolv Labs는 Cyber.Fund와 Maven11이 주도하고 Coinbase Ventures와 Arrington Capital 등이 참여한 시드 라운드에서 1,000만 달러를 유치했습니다. TVL은 최고점에 달했을 때 5억 달러를 넘어섰습니다. 2) 2024년~2025년 - 반복적인 감사 스마트 계약은 5개 보안 회사에 의해 14번의 감사를 받았습니다. 2025년 7월, 파쇼프는 스테이킹 모듈을 감사하고 전반적인 시스템 설계가 "훌륭하다"고 평가했습니다. 3) 2026년 2월 - 자금 유출이 조용히 시작되었습니다. TVL은 사건 발생 3~4주 전 약 4억 달러에서 1억 달러로 급감했습니다. BeInCrypto의 분석가들은 공격 직전 유동성이 75% 감소한 것은 이례적인 현상이라고 지적했습니다. 그리고 다음과 같은 의문이 생깁니다. 누군가 사전에 알고 있었을까요? 4) 2026년 3월 22일 일요일 — 20만 달러 투입 해커는 새로운 USR 코인을 발행하는 표준 절차인 requestSwap 기능을 통해 약 20만 달러(약 680만 바트) 상당의 USDC를 USR 시스템에 입금했습니다. 5) 17분 후, 예상 수량의 500배가 발행되었습니다. 서비스 역할 시스템(코인 발행에 대한 특별 권한을 가진 계정)은 요청에 따라 평소 발행량인 약 20만 개가 아닌 5천만 개의 USR 코인을 발행했습니다. 이는 예상 수량의 500배에 달하는 양입니다. 이후 추가로 3천만 개의 코인이 채굴되어 총 8천만 개의 담보 없는 USR 코인이 발행되었습니다. 6) DeFi 매도세로 인한 가격 폭락 USR 코인은 여러 유동성 풀에서 매도되었습니다. Curve Finance 풀에서 USR 가격은 0.025달러까지 폭락(목표가 1달러 대비 97.5% 하락)한 후, 여러 보고서에 따르면 0.14달러~0.42달러 수준으로 회복되었습니다. 7) 모든 자산을 ETH로 전환 - Cyvers가 확인한 Arkham의 온체인 데이터에 따르면 해커들이 약 11,400 ETH(약 2,300만~2,500만 달러 상당)를 이더리움으로 전환했습니다. 나머지 3,600만 달러 상당의 USR은 계속해서 매도되고 있습니다. 8) Resolv 발표 전 PeckShield 경고 - 보안 회사 PeckShield는 Resolv Labs의 공식 성명 발표에 앞서 X 플랫폼에 비정상적으로 많은 양의 USR이 채굴되고 있다는 경고를 게시했습니다. 9) Resolv 성명 발표 - "담보 풀은 여전히 유효합니다" Resolv Labs는 모든 프로토콜 기능을 일시적으로 중단하는 동안 자산 준비금이 "유효하며" "실제 자산 손실은 없다"고 확인했습니다. 하지만 Cyvers는 이 성명이 "기술적으로는 맞지만 현실을 반영하지 않는다"고 지적합니다. 왜냐하면 이러한 유형의 공격은 국고에서 돈을 훔치는 것이 아니라 공급 인플레이션, 즉 코인을 더 많이 발행하여 희석시키는 것이기 때문입니다. 결과적으로 개인 투자자는 막대한 손실을 입게 됩니다. 10) Pashov는 원인을 밝혔습니다. 코드 결함이 아니었습니다. 감사 회사인 Pashov는 "시스템 설계는 훌륭했다"고 밝혔습니다. 그러나 근본적인 원인은 개인 키 유출, 즉 서비스 역할 계정의 개인 키가 도난당한 것으로 보입니다. 해당 서비스 역할은 일반 계정(다중 사용자 시스템이 아닌 외부 소유 계정, EOA)이었으며, 발행 한도나 오라클 가격 검증 요건이 없었습니다. 11) 다른 DeFi 프로토콜들은 이 주장을 반박하는 성명을 발표했습니다. Lido, Morpho, Aave는 모두 보안을 확인하는 성명을 발표했고, Euler, Venus, Lista, Fluid는 거래를 일시적으로 중단하거나 Vault를 포기하기로 결정했습니다. Ledger의 CTO인 Charles Guillemet은 이번 사건이 "Terra Luna 사태와는 다르다"며, 보안 대응(USR) 규모가 시스템 전체로 확산되지 않을 만큼 작았다고 언급했습니다. 올해만 해도 이런 일은 처음이 아닙니다. 2026년 1월에는 Truebit이 5년 전에 배포된 스마트 계약의 취약점으로 인해 2,660만 달러의 손실을 입었고, Balancer는 최근 1억 달러의 손실을 입었습니다. Immunefi에 따르면 현재 해킹으로 인한 평균 손실액은 약 2,500만 달러이며, 이는 이번 사태 해결 비용과 정확히 일치합니다. 업계 일각에서는 이를 악재 발표 일주일 전부터 주가가 불규칙적으로 움직이는 일부 주식과 비교합니다. 하지만 DeFi에서는 이러한 현상이 온체인에서 발생하고 모든 사람이 볼 수 있지만, 아무도 제때 알아차리지 못하는 것입니다.