Resupply, 보안 취약점으로 960만 달러 해킹당한 사실 드러나자 사용자에게 손해 떠넘기기?
글: 1912212.eth, Foresight News
최근 몇 년간 DeFi 분야의 급속한 발전은 무수한 투자자와 개발자들을 끌어들였지만, 고위험·고수익이라는 특성으로 인해 자주 문제가 발생하고 있다. 특히 해킹을 통한 자금 유출 사건은 많은 체인 상의 금융 상품 및 차익 거래자들을 고통스럽게 하고 있다. 6월 27일, DeFi 프로토콜 Resupply가 중대한 보안 취약점으로 인해 960만 달러의 자금을 도난당하는 사태가 발생했으며, 이 사건은 OneKey 창립자 왕이스(왕이스, Yishi Wang)가 제기한 권익 보호 운동으로 인해 커뮤니티 내에서 널리 알려졌다.
Resupply의 주요 투자자 중 한 명인 Yishi는 공개적으로 프로젝트팀의 실수를 비판하며 관련 당사자들에게 책임을 촉구했고, 그의 행동은 커뮤니티 내에서 광범위한 논의를 불러일으켰으며, Curve 창립자 마이클 에고로프(Michael Egorov)와 격렬한 설전까지 벌였다.
계약서 결함으로 사용자 자금 전액 유출
Resupply는 혁신적인 유동성 관리 및 수익 전략을 통해 사용자와 투자자를 유치하려는新兴 DeFi 프로토콜이다. DeFi 프로토콜은 일반적으로 스마트 계약을 통해 풀(pool)의 자동화된 운영을 구현하며, 사용자가 암호화 자산을 예치해 수익을 얻도록 허용한다. 그러나 이러한 프로토콜의 복잡성과 코드상의 결함은 종종 해커들의 표적이 된다. Resupply는 출시 이후 높은 수익률을 제시하고 Curve, Convex, Yearn 등 유명 DeFi 프로젝트들과 협력하며 빠르게 다수의 자금과 관심을 모았으며, 해킹 사건 이전에 수억 달러 규모의 자산을 운용하고 있었다.
암호지갑 기업 OneKey의 창립자 왕이스는 Resupply의 상위 3대 투자자 중 하나다. 그의 X(트위터)상 공개 성명에 따르면, 그는 개인적으로 Resupply에 수백만 달러를 투자했으며, 이번 공격 사건은 막대한 경제적 손실뿐 아니라 심각한 정신적 부담도 초래했다.
Yishi의 분석에 따르면, 사건의 근본 원인은 Resupply 팀이 새로운 펀드풀(vault)을 배포할 때 초기 지분을 소각하지 못해 스마트 계약의 ERC-4626 표준에 "인플레이션형 민팅 취약점(inflationary minting vulnerability)"이 발생한 것이다. 이 결함으로 공격자는 제로 비용으로 무제한 토큰을 민팅할 수 있었고, 결국 풀 내 자산을 모두 유출해 버렸다.
Yishi는 "이건 백조 사건이 아니라 인간의 과오며, 개발 단계에서의 심각한 소홀이다."라고 말하며, 이 취약점이 외부 해커가 복잡한 기술을 동원한 것이 아니라 팀의 기초 코드 배포 과정에서 발생한 하급 오류라고 지적했다. 이러한 실수는 DeFi 분야에서 특히 치명적이다. 스마트 계약은 수정 불가능하기 때문에 일단 취약점이 악용되면 거의 회복할 수 없기 때문이다.
침묵과 차단, 그리고 투자자에게 손실 떠넘기기 시도
블록체인 해킹 사건은 끊임없이 발생하고 있으며, 지난 수년간 여러 퍼블릭 체인, DeFi, 거래소들이 해킹의 충격을 경험했다. 우리는 보통 공식 팀이 신속하게 입장을 밝히고 해커에게 직접 메시지를 보내는 것을 확인할 수 있다. 그러나 Resupply 팀의 대응 방식은 이해하기 어려웠다. 해커에 대해 침묵으로 일관할 뿐 아니라, "현재까지도 기술적 추적이나 화이트햇 보상 관련 작업을 전혀 진행하지 않았다."
Yishi는 팀이 즉각 조사나 신고를 하지 않고, 오히려 보험 풀을 이용해 투자자들이 손실을 떠안도록 시도했으며, 공식 디스코드 서버에서 문제를 제기하는 사람들의 발언을 차단했다고 밝혔다. 주요 투자자인 Yishi가 합리적인 의문을 제기하자, 팀은 예고 없이 그를 금언 처리했고, 이에 그는 "충격적이며 분노를 느꼈다"고 표현했다.
최근 제안서에 따르면, 프로젝트팀은 보험 풀을 통해 부실채무를 부담할 계획이다
Resupply 팀의 무대응과 이견 억압 태도에 직면하여, Yishi는 X 플랫폼에서 공개적으로 권익 보호 운동을 시작했다. 그는 장문의 글을 게시하며 사건의 전말을 상세히 공개하고, Resupply 팀의 책임 회피 행위를 명명백백하게 비판했다. 그는 보험 풀의 설계 목적은 예측 불가능한 백조 사건에 대비하기 위한 것이지, 개발팀의 하급 실수를 보완하기 위한 것이 아니라고 강조했다. 그는 "개발 실수가 전부 사용자가 부담해야 한다면, 이건 도대체 어디가 '보험'이란 말인가? 그냥 부자털어 가난한 자 살리는 위선적인 짓이다."라고 질책했다.
Yishi의 권익 보호 운동은 Resupply 팀뿐만 아니라 해당 프로젝트와 협력한 유명한 DeFi 프로토콜들(Curve, Convex, Yearn 등)로도 확산되었다. 그는 이 프로젝트들이 Resupply에 유동성을 제공하고 후원함으로써 노출과 수익을 얻었기 때문에, 사건 발생 후에도 책임을 회피해서는 안 된다고 지적했다. 특히 Curve의 스테이블코인 crvUSD는 Resupply의 펀드풀에서 중요한 역할을 했다. Yishi는 이러한 프로젝트들의 개발자들과 재무 팀이 공동으로 배상 책임을 지고 투자자의 손실을 보상할 것을 촉구했다.
공개 정보에 따르면, 최근 몇 년간 관련 프로토콜 프로젝트팀은 매년 평균 1000만 달러 정도의 자금을 도난당했으며, 이는 커뮤니티 내에서 '감守自盗'(자신이 지켜야 할 것을 스스로 훔친다는 의미)에 대한 의심을 낳기도 했다.
-
2021년 Yearn Finance 약 1100만 달러: 계약 업무 로직 결함으로 인해 공격자가 충분히 보호되지 않은 유동성을 이용해 플래시론 공격을 수행하고 자금 풀을 조작해 차익을 실현했다.
-
2023년 3월 Yearn Finance 약 140만 달러: Euler Finance 해킹 사건의 영향을 받아 Yearn Finance와 자금 연결이 있었기 때문에 간접적으로 피해를 입었으며, 자체 계약에는 결함이 없었다.
-
2023년 4월 13일 Yearn Finance 약 1160만 달러: 초기 iearn yUSDT 계약 설정 오류로 인해 계약이 잘못된 자산 풀(USDT가 아닌 USDC)을 가리키게 되었고, 공격자가 이 설정 결함을 이용해 대량의 yUSDT를 민팅한 후 현금화했다.
-
2024년 3월 28일 Prisma Finance 약 1000만 달러: 계약에 권한 관리 및 업무 로직 결함이 존재하여, 공격자가 악성 계약을 배포하고 여러 번의 조작을 통해 자금을 유출했으며, 이 과정에서 함수 권한 문제와 계약 호출 결함이 포함되었다.
-
2025년 6월 26일 Convex Finance(Resupply 자 DAO): 약 1000만 달러: Resupply 자 DAO 계약에 업무 로직 결함이 존재하여, 공격자가 계약 결함을 이용해 자금을 불법적으로 이전했다. 구체적으로는 계약 권한 또는 자금 흐름 검증이 부족했던 것으로 드러났다.
또한 Yishi는 Resupply 팀의 소통 태도에 대해서도 비판을 가했다. 그는 팀이 투명성 부족은 물론이고, 이의를 제기하는 투자자들을 조롱하고 차단하는 행위는 커뮤니티 신뢰에 대한 심각한 배신이라고 말했다. 그는 Resupply가 기술적 실수로 인한 손실을 사용자에게 돌려주는 공정한 해결책을 마련할 것을 촉구했다.
이후 Yishi는 익명의 인물로부터 '칭총(ching chong)'과 같은 차별적 의미를 담은 모방적 언어로 DM 공격을 받았으며, 이는 한어권 커뮤니티의 일반적인 불만을 불러일으키기도 했다.
갈등 격화: Curve 창립자와의 맞대결
Yishi의 공개적인 권익 보호 운동은 곧장 Curve 창립자 마이클 에고로프와의 직접적인 충돌로 이어졌다. 이전에 Curve Finance는 공식적으로 이번 보안 사건에 대해 "Resupply는 Curve 개발자들이 개발한 것은 아니지만, Resupply 창립자는 능력이 뛰어나고 경험이 풍부하므로 이 문제를 해결하기 위해 최선을 다할 것이라 믿는다."라는 입장을 발표했다.
그러나 사건은 여기서 끝나지 않았다.
Yishi에 따르면, 마이클은 개인적으로 자신을 고소하겠다고 밝혔으며, 그 이유는 자신의 발언이 "Curve의 명성을 훼손했다"는 것이었다. 이 소식은 X 플랫폼에서 커뮤니티의 격렬한 논쟁을 촉발시켰으며, 많은 사람들이 Resupply의 파트너로서 Curve도 부분적인 책임을 져야 한다고 보았고, 법적 위협으로 비판을 억누르는 것은 부당하다고 생각했다.
Yishi는 X에서 이렇게 반박했다. "마이클이 나를 고소한다고? 내가 Curve 명예를 훼손했다고? 이런 행동이 대체 어떤 건가? 착한 사람은 당연히 괴롭힘을 당해야 하는 건가?" 그는 마이클이 사건 조정을 위해 노력한 점을 존중하지만, 이 때문에 책임 추궁을 포기하지는 않을 것이라고 밝혔다.
사건이 확산되면서 일부 사용자들은 Yishi의 개인적인 권익 보호 운동을 OneKey 브랜드와 연결지어, OneKey가 "여론 공세를 조직해" Resupply를 공격했다고 비난하기 시작했다. 이에 대해 OneKey는 6월 29일 X 플랫폼에 엄중한 성명을 발표하며, 회사는 어떠한 여론 공세에도 참여하거나 조종한 바 없으며, Yishi의 권익 보호 활동은 개인적인 투자 행위일 뿐 OneKey의 사업과는 무관하다고 밝혔다.
정리
Resupply 사건은 단순히 Yishi의 개인적인 권익 보호 운동의 축소판일 뿐 아니라, DeFi 산업이 급속한 발전 과정에서 노출된 다양한 문제들을 반영하고 있다. 첫째, 스마트 계약의 보안성은 여전히 DeFi 프로젝트의 핵심 과제다. Resupply의 취약점이 겉보기에 하급 오류처럼 보일지라도, 유사한 사건은 DeFi 분야에서 흔히 발생하고 있다. 2024년 한 해에만 전 세계적으로 해킹과 사기로 인한 암호화폐 손실이 22억 달러를 넘어서며, 산업 전체의 보안 기준 향상이 시급함을 보여주고 있다.
둘째, Resupply 팀의 대응 방식은 DeFi 프로젝트가 위기 관리에서 부족한 면을 드러냈다. 투명성 부족, 이견 억압, 책임 회피 등의 행위는 투자자의 신뢰를 훼손할 뿐 아니라 프로젝트의 장기적 발전에 치명적인 타격을 줄 수 있다. Yishi의 권익 보호 운동은 커뮤니티에 다음과 같은 경각심을 일깨워준다. 투자자는 기술적 실수에 대해 프로젝트팀이 책임을 지기를 요구할 권리가 있으며, 손실을 사용자에게 전가해서는 안 된다는 것이다.
또한 이 사건은 DeFi 생태계 내 파트너십 책임에 대한 논의를 촉발시켰다. Curve, Convex 등 프로젝트들이 Resupply와의 협력 관계로 인해 논란에 휘말리며, DeFi 프로젝트들의 연계성이 장점인 동시에 리스크를 증폭시키는 요인이 될 수 있음을 보여주었다. 앞으로 생태계 협력 속에서 책임을 어떻게 명확히 배분할 것인지가 DeFi 산업이 해결해야 할 중요한 과제가 될 것이다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
Foresight News
