해킹 추적 없음, 홍보 통제 불능: DeFi 프로토콜 Resupply 960만 달러 도난 사건 경과 정리

저자：Fairy，ChainCatcher

편집：TB，ChainCatcher**

사건 발생 후 첫 반응은 종종 팀의 진정한 색깔을 드러낸다.

탈중앙화 스테이블코인 프로토콜 Resupply가 960만 달러를 도난당했으며, 원래는 "일상적인" DeFi 보안 사고처럼 보였으나, 불과 며칠 만에 급격히 악화되었다: 프로젝트 측은 아무런 발언도 하지 않고 보상도 제시하지 않았으며, 투자자 OneKey의 창립자는 공개적으로 권리를 주장했다. 사건은 기술적 문제에서 가치관 충돌로 빠르게 변모하였고, Curve 생태계에도 영향을 미쳤다.

이 사건은 더 이상 단순한 도난 사고가 아니라, 기술적 실수와 거버넌스 오만의 압박 속에서 통제 불능으로 전면적으로 연쇄 붕괴된 상황이다.

사건 회고: 보안 사고에서 PR 재앙으로

6월 26일, Resupply가 공격을 받아 약 950만 달러의 손실을 입었다. 사고 발생 후 팀은 간단한 트윗으로 상황을 설명했지만, 해커를 추적하거나 보상을 발표하는 조치는 없었고, 이는 커뮤니티의 의문을 불러일으켰다.

동시에 사용자들은 Discord에서 의문을 제기한 후 금지당하고 제거되었으며, 커뮤니티 분위기는 급속히 악화되었다. OneKey의 창립자 Yishi는 공개적으로 발언하며 자신이 Resupply의 세 주요 투자자 중 하나로서 수백만 달러를 잃었으며, 프로젝트 측이 나쁜 채무를 보험 풀의 예금자에게 강제로 분담시키고 있다고 지적했다. 즉, 일반 스테이킹 사용자들이 기술적 실수의 대가를 치르게 하려는 것이다.

6월 28일, Resupply는 공격 분석 보고서를 발표하며, 취약점이 특정 토큰 거래 쌍에만 영향을 미쳤고 나머지 시장은 정상적으로 운영되고 있다고 밝혔다. 그리고 보험 풀의 600만 개 reUSD를 사용하여 나쁜 채무를 보전하는 거버넌스 제안을 제시했으며, 나머지 부분은 향후 프로토콜 수익을 통해 점진적으로 상환할 계획이라고 했다. 그러나 이러한 조치는 "분노"를 가라앉히지 못했다.

6월 29일, Yishi는 다시 발언하며 팀이 첫 번째로 책임을 묻는 것이 아니라 "사용자 주머니에서 직접 돈을 빼내는 것"이라고 비판했고, 심지어 잠금 기간을 연장하고 출금을 제한하는 조치를 취했다고 말했다. 더 심각한 것은, 커뮤니티에는 욕설과 인종 차별적 발언이 넘쳐났다.

이 외에도 DeFi 연구원 @22333D는 여러 비디오를 게시하며 팀이 저급한 계약 오류가 발생한 후 전혀 책임을 지지 않는다고 강하게 비판했다. 느슨한 창립자 유선도 공개적으로 발언하며, 이를 역사상 보안 사고 처리에서 최악의 TOP 10 관찰 구역에 포함시킬 것을 제안했다.

결국 이 보안 사고는 "직무 유기 거버넌스 + 여론 억압 + 커뮤니티 분열"의 다중 위기로 발전하게 되었다.

Resupply 뒤의 팀의 "보안 흑역사"

이번 공격에서 해커는 ResupplyPair 계약의 가격 조작 취약점을 이용하여 ERC4626 인플레이션 취약점과 결합해 1 wei의 담보로 약 1000만 달러의 reUSD를 빌려갔다. 그러나 이러한 공격 방식은 복잡하지 않으며, 암호화 KOL 자시마는 이를 "가장 저급하고 일반적인" 오류라고 언급하며 팀의 핵심 계약 설계에 대한 심각한 소홀함을 드러냈다.

더욱 우려스러운 것은 Resupply 뒤의 개발 팀이 처음으로 보안 문제에 직면한 것이 아니라는 점이다.

2024년 3월, Resupply의 전신인 Prisma Finance는 해커 공격으로 1160만 달러 이상의 손실을 입었다. 공격자는 화이트 해커를 자칭하며 여러 차례 체인상에 메시지를 남겼지만, 사건은 결국 무위로 돌아갔고, 9개월 후 Prisma 프로젝트는 공식적으로 종료되었으며 Resupply가 "후계자"로 시작되었다.

이 외에도 커뮤니티 사용자들이 정리한 바에 따르면, 지난 몇 년 동안 해당 팀과 관련된 프로젝트는 평균적으로 매년 거의 천만 달러의 자금 손실이 발생했다. (주: Resupply는 Convex Finance와 Yearnfi의 subDAO 프로토콜이다.) 이러한 비정상적인 "사고 빈도"는 커뮤니티로 하여금 그 뒤의 팀이 자산을 유용했는지 의문을 제기하게 만들었다.

이미지 출처: @22333D

신뢰의 균열: Curve 생태계

Resupply의 여론이 악화됨에 따라 Curve도 이 신뢰 위기의 소용돌이에 휘말리게 되었다. 비록 두 팀이 동일하지는 않지만, 관계는 밀접하다. Resupply 프로토콜은 Curve 생태계 위에 구축되어 있으며, 그 유동성 풀과 메커니즘에 의존하고 있다. 초기 출시 시 Curve 공식은 Resupply를 홍보하기도 했다.

이러한 이유로 많은 사용자들은 Curve에 대한 신뢰를 바탕으로 Resupply에 스테이킹하고 보험 풀에 참여하기로 선택했다. 결과적으로 Resupply의 성장은 실제로 Curve에 긍정적인 영향을 미쳤다.

암호화 KOL 암호화 웨이타는 Curve가 22년 Luna 폭락 이후 TVL이 급격히 하락했으며, Michael의 집 구매, 두 차례의 해킹, stETH 탈락, FTX 붕괴 등 여러 사건 이후 계속해서 하락하고 있다고 언급했다.

Resupply가 올해 3월에 출시된 후 Curve에 활력을 불어넣었지만, 현재 "연명판"이 논란에 휘말리면서 오히려 과거의 문제를 다시 드러내고 있다.

커뮤니티 여론 속에서 일부 사용자는 Curve 생태계 프로젝트를 보이콧하겠다고 주장하기 시작했으며, 다른 일부는 Curve가 생태계 프로젝트의 기술적 실수에 대해 책임을 져서는 안 된다고 생각했다. 그러나 더 많은 사용자들은 Curve 팀과 창립자 Michael의 사건 후 반응에 실망감을 느꼈다: Resupply와의 관계를 명확히 하려는 급한 태도와 공개 발언에서 Resupply 프로젝트 측을 옹호하는 경향을 보였다.

또한, Michael은 OneKey 창립자 Yishi가 공개적으로 권리를 주장한 후 "앞으로 OneKey 제품을 사용하지 않을 것"이라고 주장했으며, Yishi를 "Curve의 명예를 훼손했다"며 고소하겠다고 밝혔다.

Resupply의 신뢰 붕괴는 단순한 코드 오류에서 비롯된 것이 아니라, 위기 속에서 드러난 프로젝트 측의 도덕적 바닥선을 비추는 거울과도 같으며, 생태계가 확장하는 과정에서 책임, 투명성 및 책임감의 결여를 드러낸다.

사고의 여파는 결국 가라앉겠지만, 신뢰의 균열은 영원히 메워지지 않을지도 모른다.