최근 발생한 리졸브(Resolv) 해킹 사건은 디파이(DeFi) 생태계의 리스크 관리 시스템이 여전히 취약함을 여실히 드러내고 있다. 소프트웨어 감사 및 리스크 분석을 여러 차례 진행했음에도 불구하고, 발생한 한 번의 사고가 패그 붕괴와 함께 연쇄 피해를 유발하는 구조가 재차 확인되었다. 이는 '잘못될 가능성이 있는 것은 반드시 잘못된다'는 머피의 법칙이 디파이 환경에서 특히 두드러진다는 점을 시사한다. 코드가 공개되어 있고 검증 절차가 존재하더라도, 운영 체계와 권한 설계가 미흡할 경우 방어선은 쉽게 무너질 수 있다.

이번 해킹 사건에서 공격자는 프로젝트의 프라이빗 키에 접근해 담보 없이 무려 8000만 달러 상당의 USR 스테이블코인을 사전 승인 없이 발행하였다. 이 과정에서 USR의 1달러 연동 패그는 붕괴하였고, 최종적으로 공격자가 탈취한 금액은 약 2300만 달러에 이르는 것으로 추산된다. USR은 현재 0.2달러에도 미치지 못하며, 추가 피해를 방지하기 위해 발행 및 상환 기능이 중단된 상황이다. 이 사고로 인한 유출액을 한화로 환산하면 대략 346억 원에 달한다.

더욱이 이번 사건은 리졸브 랩스와 USR 보유자만의 문제가 아니었다. USR을 통합한 여러 디파이 프로토콜은 서로 연결되어 있어 피해가 방식으로 확산되며 디파이의 상호 연결성이 위기 전파의 주요 통로로 작용할 수 있음을 입증했다. 게이트 벤처스의 매니징 파트너인 케빈 양은 이번 사건을 단순한 익스플로잇이 아니라 디파이가 리스크를 가격에 반영하는 구조적 실패로 지적했다.

디파이 리스크 평가업체 크레도라는 이번 사건이 두 가지 주요 문제를 드러냈다고 분석했다. 첫째, 막강한 발행 권한을 가진 단일 특권 접근 키로 인한 높은 운영 리스크가 사고의 직접 원인이라는 것이다. 둘째, 키가 탈취되더라도 피해를 제한할 수 있는 온체인 안전 장치가 전혀 존재하지 않았다. 크레도라는 리졸브 스마트컨트랙트가 여러 차례 유력 보안업체의 감사를 받았음에도 불구하고 이 '특권 키'에 대한 취약점이 발견되지 않았다고 강조했다.

해커는 이더리움의 90%를 반환하면 추적을 중단하겠다는 조건을 리졸브 측에 제시한 상태인데, 곧 이행 시한이 도래한다. 그러나 이러한 사고는 미국의 규제 환경이 우호적으로 변화하고 있다는 기대와는 상관없이, 가격 하락과 업계의 구조조정이 겹쳐 있는 시점에서 발생했기 때문에 단기적으로 디파이 전반의 신뢰 프리미엄이 추가로 훼손될 것이라는 우려가 고조되고 있다.

이번 해킹 사건은 '특권 키'가 있는 프로토콜이 코드 감사만으로는 리스크를 제어하기 어렵다는 점을 강조하고 있다. 디파이 사용자들은 스테이블코인 투자 시 각별한 주의를 기울여야 하며, 발행 및 상환 중단 같은 비상 조치 가능성을 염두에 두어야 한다. 또한, 통합 프로토콜의 구조적 리스크를 줄이기 위해 단일 자산의 의존도를 낮추고 익스포저 한도를 설정하는 것이 중요하다.