오늘, USDR 및 EURR 스테이블코인을 발행하는 스마트 계약에 대한 대규모 익스플로잇이 발생했습니다. 공격자는 무에서 1,676만 USDR과 911만 EURR을 발행한 뒤, 이 보증되지 않은 토큰 일부를 다른 암호자산으로 스왑했습니다.
이 정도 규모의 해킹이 일상처럼 느껴지기 시작한 것을 눈치채셨나요? 저는 매일 암호화폐 뉴스를 팔로우하는데 솔직히 말해요: 수백만 달러 규모의 익스플로잇에 대한 또 다른 헤드라인을 볼 때면 눈으로 훑고 지나가게 됩니다. 마치 더 이상 놀랄 일이 아닌 것처럼요!
그럼에도 불구하고, 이런 해킹들 뒤에는 블록체인과 암호화폐를 주된 저축 수단으로 사용하는 평범한 사람들이 겪는 실제 문제들이 있습니다.
오늘, StablR(USDR과 EURR의 발행사)에 대한 공격이 전개되고 두 토큰의 가격이 하락하기 시작할 때, rabbit.io에는 2,000 USDR을 USDT로 스왑해달라는 요청이 들어왔습니다. 우리의 자동화 시스템은 모든 검사를 수행했습니다: 고객의 주소는 익스플로잇과 관련이 없었고, 그들은 거의 1년 동안 USDR을 보유해왔으며, 이 스왑 요청은 거의 확실히 저축을 구출하려는 시도로 보였습니다. 우리는 당시 가능한 시세로 스왑을 처리했고 고객은 1% 조금 넘는 손실만 입었습니다 — 비록 몇 분 만에 USDR 가격이 25% 하락했고, 이후 공황 속에서 거의 $0.40까지 떨어졌지만요.
하지만 몇 시간 후 동일한 고객이 추가로 50,000 USDR을 스왑해달라고 요청했을 때, 우리는 더 이상 큰 손실 없이 스왑을 제공할 수 없었습니다.
무슨 일이 실제로 일어났나
오늘 01:46 UTC, ZachXBT의 텔레그램 조사 채널은 StablR의 스마트 계약이 약 1,000만 달러 규모로 익스플로잇되었을 가능성에 대한 메시지를 게시했습니다.
나중에 밝혀진 바로는, 공격자들이 새로운 토큰 발행을 담당하는 StablR의 멀티시그(multisig) 주소 소유자 중 한 명의 개인 키를 획득했다는 것입니다. 문제는 보안 임계값이 극도로 낮았다는 점에서 심각했습니다: 사용 가능한 세 개의 개인 키 중 단 하나만으로도 어떤 작업이든 승인할 수 있었습니다. 다시 말해, 이것은 사실상 멀티시그가 아니었습니다. 멀티시그의 핵심은 여러 서명이 있어야만 작업이 실행된다는 것인데, 여기서는 한 서명만으로도 충분했고 — 어떤 단일 서명이든 괜찮았습니다. 그런 식의 "멀티시그"는 주소의 보안을 높이지 않고 오히려 세 배로 낮춥니다. 공격자들은 탈취한 키를 사용해 수백만 개의 USDR과 EURR 토큰을 무에서 발행했습니다.
StablR 팀이 위치한 것으로 추정되는 유럽에서는 토요일과 일요일 사이 한밤중이었기 때문에 공격은 몇 시간 동안 계속되었습니다. 마지막 90만 개의 무단 EURR 토큰은 04:03 UTC에 네트워크에 반영되었습니다.
두 토큰의 공급이 급격히 증가했고 — 물론 즉시 시장에 풀리자 — USDR과 EURR의 가격은 급락했고 아직 회복하지 못했습니다.
이 토큰들은 무엇이며 누가 사용하나?
USDR(StablR USD)는 미국 달러에 1:1로 페그된 법정화폐 담보 스테이블코인으로 이더리움 네트워크에서 운영됩니다. 발행사는 몰타 금융서비스청(MFSA)의 규제를 받는 전자화폐기관(EMI)으로 등록된 유럽 핀테크 기업 StablR이며, 네덜란드에도 추가 사무소를 두고 있습니다. EURR은 동일 회사의 유로 페그 스테이블코인입니다.
2024년 말, StablR은 USDT의 발행사인 테더(Tether)로부터 투자를 받았는데, 이는 MiCA 규정이 발효된 이후 유럽에서 USDT를 사용하는 것이 사실상 불가능해진 상황에서 테더가 유럽 암호화폐 시장에 발판을 유지하려 했기 때문이었습니다.
우리 고객이 보유한 토큰인 USDR에 대해 조금 더 말씀드리겠습니다. 수십억 달러가 이동하는 USDT나 USDC 같은 거대 프로젝트와 비교하면 USDR은 아주 작은 프로젝트입니다. 어젯밤 1,676만 개의 보증되지 않은 토큰이 발행된 후, Etherscan에 따르면 유통되는 총 USDR 공급량은 21,076,437입니다. 즉 오늘의 해킹 이전에는 시가총액이 500만 달러 미만이었다는 뜻입니다.
그렇다면 왜 누군가가 USDT나 USDC 대신 이를 선택했을까요? 이유는 StablR이 자신의 토큰을 MiCA 준수를 위해 특별히 설계했기 때문입니다. 법적 관점에서 완전히 투명합니다:
- 법정화폐 담보는 규제된 유럽 은행의 분리된 계좌에 보관됩니다.
- 주요 회계법인(예: Grant Thornton)에 의한 정기적인 감사가 수행됩니다.
아마도 우리 고객 — 최소 52,000 USDR을 보유하고 있던 사람 — 은 EU 거주자이거나 유럽 법적 체계 내에서 운영되는 사람이었을 것입니다. 그들에게는 세금이나 은행 문제를 피하기 위해 USDT가 아니라 "깨끗한", 증명 가능한 합법적이고 규제 당국이 승인한 자산을 사용하는 것이 중요했습니다.
그리고 오늘, StablR의 기술적 보안 실패로 인해 그 사용자는 긴급히 자금을 USDT로 옮기기로 결정했습니다 — 이는 유럽에서 법적 또는 운영적 확실성을 제공하지 않는 토큰입니다. 그 과정에서 상당한 금액을 잃었습니다. 발행사의 라이선스나 재무 감사가 우리 고객을 손실로부터 보호하기에는 충분하지 않았습니다.
이런 암호자산조차 신뢰할 수 없다면 우리는 무엇을 해야 하나?
저는 오랫동안 정부와 규제받는 은행들이 사람들을 전통적 금융 시스템 밖으로 밀어내고, 누구도 압수할 수 없는 블록체인 상에 저축을 보관하도록 적극 유도하고 있다고 글을 써왔습니다.
그러나 최근 몇 달간 쏟아진 끊임없는 해킹들은 그러한 보관 방식이 얼마나 위험할 수 있는지를 보여줍니다. 많은 암호화폐 사용자들이 저축을 다시 은행으로 옮겨야 할 때가 아닌가 고민하기 시작해도 놀랍지 않을 것입니다. 은행은 송금과 결제를 검열할 수 있고 현금 지급을 거부할 수 있지만 — 적어도 암호화폐 프로젝트들처럼 자주 털리지는 않습니다.
거의 모든 암호 서비스의 기술적 측면은 완전한 오픈소스입니다. 그리고 이제 취약성 연구는 계속해서 더 똑똑해지는 AI 모델들에 의해 24시간 수행되고 있기 때문에, 이러한 익스플로잇의 물결은 앞으로도 지속되거나 오히려 가속화될 것으로 예상해야 합니다. 해킹할 수 있는 것은 무엇이든 해킹당할 것입니다.
그렇다고 암호화폐를 완전히 포기해야 한다는 뜻일까요? 아닙니다. 하지만 적어도 당분간 기업적 레이어로 포장된 체계들에 대한 참여를 축소하는 것이 합리적이라고 생각합니다. 바로 그런 것들이 해킹당하는 것입니다, 암호화폐 자체가 아니라. 비트코인의 기본 프로토콜은 17년 동안 단 한 번도 해킹당하지 않았습니다 — 단순히 그 아키텍처에는 특권 소유자도, 발행 버튼도, 잠든 팀으로부터 도난당할 수 있는 관리자 키도 물리적으로 존재하지 않기 때문입니다.
자산이 순수하고 탈중앙화된 수학에서 멀어지고 인간의 통제 쪽으로 멀어질수록 더 취약해집니다. 그래서 이더리움조차도, 매 하드포크마다 규칙을 재작성하는 이더리움 재단의 중앙화된 영향력 때문에 신뢰성의 기준이 될 수 없습니다. 진정으로 안전한 보관은 규칙을 자신에게 유리하게 변경할 권한을 가진 주체가 존재하지 않을 때만 가능합니다.
이 점을 암호화폐를 사용하는 모든 사람이 알고 있다고 생각합니다. 그럼에도 일상적인 보관과 평범한 거래를 위해 비트코인과 같은 암호화폐를 사용하는 사람은 매우 적습니다. 가격이 법정화폐로 표기되어 있는 한, 모두 내일 내 지갑 잔액이 오늘보다 10–15% 줄어들지 않기를 바라며 잔액이 법정화폐 기준으로 고정되기를 원합니다.
그렇다면 평범한 사용자가 여전히 달러의 익숙한 안정성을 필요로 할 때 무엇을 해야 할까요? 솔직히 말해 좋은 답이 없습니다. 우리 고객은 오늘 자신의 선택을 했습니다: USDR의 위험을 인지하고 자금을 USDT로 옮기기로 결정한 것입니다. USDT는 10년 넘게 존재해왔습니다. 그렇다고 발행사가 언제든 규칙을 바꿀 수 있지만, 그 긴 시간 동안 아직까지 그 가능성이 악용된 적은 없습니다.
가장 이상한 점은 수백만 달러어치의 전혀 담보되지 않은 USDT가 시장에 유통되고 있었을 때조차 그 토큰의 가격은 거의 영향을 받지 않았다는 것입니다. 테더가 시장에 또 다른 10억 USDT를 풀어도 아무도 의문을 제기하지 않습니다. 모든 보유자가 어차피 발행사에 가서 토큰을 달러와 교환해달라고 요구할 수 없다는 것을 알고 있다면, 그 토큰들이 담보되어 있는지 여부는 무슨 차이가 있겠습니까? USDT는 무슨 일이 일어나더라도 암호 시장에서 항상 1 USDT당 1 USD 상당의 자산을 제공할 사람이 있을 것이라는 믿음 위에 서 있습니다. 저는 이 믿음이 어떤 해킹에도 견딜 수 있다고 상상할 수 있습니다.
젊은 스테이블코인들은 아직 그와 같은 신뢰의 오라를 형성할 만큼 충분한 신봉자들을 모으지 못했습니다.
따라서 역설적으로, 최대한 중앙화되어 있고 심각한 감사를 한 번도 받지 않은 스테이블코인을 선택하는 것이 완전히 합리적인 결정이 될 수도 있습니다.
다른 옵션으로는 Liquity USD, crvUSD, DAI와 같은 스테이블코인이 있습니다. 설계상 이들 계약은 변경할 수 없고, 중앙화된 발행자가 담보를 조작하거나 반환을 거부할 수 없습니다. 이들의 스마트 계약은 아직 해킹당한 적이 없습니다. 그렇다고 해서 현재의 컴퓨팅 파워와 지식을 가진 AI 모델들이 원칙적으로 이를 깨뜨릴 방법을 찾지 못할 것이라고 장담할 수는 없습니다.
이 때문에 저는 여전히 법정화폐에 페그된 암호자산은 일상 소비에 적합한 임시 방편일 뿐이라고 믿습니다. 실제 자산의 저장을 위해서는 비트코인과 그와 유사한 암호화폐만이 유일한 선택입니다.
