재공급의 해킹 사건 개요
2023년 6월 26일, 분산형 스테이블코인 프로토콜인 재공급의 wstUSR 시장이 해킹당해 약 950만 달러의 자산이 전송된 것으로 보고되었습니다. 암호화폐 세계에서는 이러한 사건이 드물지 않지만, 이번 사건은 커뮤니티 내에서 큰 논란을 일으켰습니다. 특히 프로젝트 팀은 해커의 자금을 회수하거나 책임을 묻지 않고, 대신 커뮤니티 자산을 사용해 손실을 메우기로 결정했습니다. 이로 인해 커뮤니티의 분노는 더욱 커졌습니다.
커뮤니티의 반응과 갈등
OneKey의 창립자 Yishi와 SlowMist의 창립자 Yu Xian 등 여러 암호화폐 관계자들은 프로젝트 팀에 문제를 제기하며, 이 거버넌스 여론이 인종 차별 문제로까지 확대되었습니다. Odaily Planet Daily는 이번 사건을 계기로 갈등의 근본 원인을 정리하고 모든 당사자의 입장을 명확히 할 것이라고 밝혔습니다.
재공급 프로토콜의 구조와 해킹 방법
재공급은 crvUSD를 중심으로 구축된 분산형 스테이블코인 프로토콜로, Curve 생태계의 거래 풀 구조와 이자율 모델에 크게 의존하고 있습니다. crvUSD-wstUSR와 같은 거래 쌍을 통해 유동성을 유치하며, 짧은 시간 안에 수천만 달러의 잠금 포지션을 축적했습니다. 그러나 이 프로토콜은 Curve와 Convex라는 두 개의 주요 DeFi 인프라에 깊이 뿌리내리고 있습니다.
6월 26일, 보안 회사 BlockSec는 재공급에서 비정상적인 자금 흐름을 처음 발견하고 초기 손실을 950만 달러로 추정했습니다. 공격자는 재공급의 wstUSR 금고 배치에서 구조적 설계 오류를 이용해 exchangeRate를 0으로 만들고, 담보 감지가 실패하게 하여 모든 청산 및 리스크 관리 메커니즘을 우회했습니다. 단 1 wei의 담보로 공격자는 대량의 reUSD를 빌리고, 자산을 세탁한 후 ETH로 변환하여 Tornado Cash를 통해 코인을 혼합했습니다.
프로토콜의 대응과 커뮤니티의 불만
SlowMist의 창립자 Yu Xian은 이를 이자율 인플레이션 허점이라고 지적했습니다. 재공급은 6월 28일 해커 공격 분석 보고서를 발표하며, crvUSD-wstUSR 거래 쌍에 대한 공격이 약 1000만 달러의 reUSD 부실 채무를 초래했지만, 취약점은 특정 토큰 거래 쌍에만 존재한다고 밝혔습니다. 현재 영향을 받은 토큰 쌍의 채무 한도는 0으로 설정되었고, 보험 풀 인출이 중단되었습니다.
재공급 프로토콜의 공식 팀은 6월 29일 커뮤니티에서 구제 조치 제안을 시작하며, 커뮤니티 합의를 통해 프로토콜의 운영을 신속하게 복구하겠다고 선언했습니다. 그러나 제안서는 해커 자금 회수, 책임 추궁, 경찰 신고 및 보상에 대한 언급이 없었습니다. 커뮤니티는 이를 “협상되지 않은 사용자 지급 메커니즘”으로 보고 있으며, 보험 풀은 본래 시장 변동에 대처하기 위해 설계된 것이지, 프로젝트 배치의 취약점을 처리하기 위한 것이 아닙니다.
결론: 신뢰의 위기
공격 이후, 재공급의 Discord 그룹은 폭발적으로 증가했으며, 일부 대형 LP들은 “왜 보험 풀이 기술적 오류에 대해 비용을 지불해야 하는가”라고 묻자 관리자에 의해 퇴출되거나 금지되기도 했습니다. 사용자 불만은 세 가지 측면에 집중되고 있으며, OneKey의 창립자 Yishi는 Curve가 모든 투자자에게 공정한 해결책을 제공하고 프로젝트 측의 심각한 기술적 오류로 인해 잃어버린 사용자 자금을 반환할 것을 요구했습니다.
이 사건은 해커 공격으로 시작되어 결국 거버넌스 책임, 커뮤니티 소통, 인종 차별 및 브랜드 윤리를 둘러싼 포괄적인 위기로 발전했습니다. DeFi 세계에서 신뢰의 기반은 백서나 감사 보고서에 있는 것이 아니라, 사건 발생 후 프로젝트 측의 첫 반응에 있습니다.
현재 재공급 프로토콜은 운영되고 있지만, 커뮤니티의 신뢰는 사라졌고, 이를 회복하기는 어려울 것입니다.
