재공급 사고 검토: 대규모 해커, 사용자들은 구멍을 메우도록 강요, 보안 사고가 인종 차별 스캔들로 확대

avatar
叮当
14한 시간 전에
이 글은 약 4762자,전문을 읽는 데 약 6분이 걸린다
해커를 추적하지 않고 대신 해커의 수익을 먼저 수확하는 역사상 최초의 협정이 있을까요?

원본 | Odaily Planet Daily ( @OdailyChina )

작성자 | 딩당( @XiaMiPP )

재공급 사고 검토: 대규모 해커, 사용자들은 구멍을 메우도록 강요, 보안 사고가 인종 차별 스캔들로 확대

6월 26일, 분산형 스테이블코인 프로토콜 Resupply에 따른 wstUSR 시장이 해킹당한 것으로 보고되었으며, 약 950만 달러 상당의 자산이 이체되었습니다.

암호화폐 세계에서 이러한 사건은 드문 일이 아닙니다. Resupply에서 도난당한 금액은 미미하지만 커뮤니티 내에서 논란을 불러일으켰습니다. 특히 프로젝트 팀은 해커 자금을 회수하지도, 책임을 묻지도, 경찰에 신고하지도, 보상도 제공하지 않았습니다. 대신 커뮤니티 자산을 사용하여 그 구멍을 메웠습니다. 결과적으로 커뮤니티의 분노는 더욱 커졌습니다. OneKey의 창립자 Yishi , SlowMist의 창립자 Yu Xian을 비롯한 여러 암호화폐 전문가들이 프로젝트 팀을 비난하기 위해 나섰고, 이러한 거버넌스 여론은 인종 차별로까지 확대되었습니다.

오데일리 플래닛 데일리는 사건 전체에서 출발하여 갈등의 근본 원인을 파악하고 모든 당사자의 입장을 명확히 밝힐 것입니다.

1. 공격 방법: 1웨이 모기지에서 수백만 달러 대출

Resupply는 crvUSD를 기반으로 구축된 탈중앙화 스테이블코인 프로토콜이며, 그 기반 구조는 Curve 생태계의 거래 풀 구조, 금리 모델, 그리고 자산 페그 로직에 크게 의존합니다. crvUSD-wstUSR과 같은 거래 쌍을 통해 유동성을 확보함으로써, 이 프로젝트는 단기간에 수천만 달러의 락업 포지션을 누적했습니다.

코드 사용, 거버넌스 로직, 재무 접근 방식 등 Resupply는 겉보기에 독립적인 고층 빌딩처럼 보이지만, 실제로는 Curve와 Convex라는 두 주요 DeFi 인프라 사이에 깊이 뿌리내리고 있습니다. 일반적으로 Resupply와 Convex 사이에 개발 리소스 협업이 이루어지고 있다는 의견이 지배적이며, 핵심 개발팀이 비밀리에 개발했다는 소문도 있습니다.

이 관계는 사건 이후 논란의 시작점이 되었다.

6월 26일, 보안 회사 BlockSec은 Resupply에서 비정상적인 자금 흐름이 발생한 것을 처음 발견했으며, 처음에는 손실액을 950만 달러로 추산했습니다.

재공급 사고 검토: 대규모 해커, 사용자들은 구멍을 메우도록 강요, 보안 사고가 인종 차별 스캔들로 확대

공격 경로는 이후 분석되었습니다. 공격자는 Resupply가 wstUSR 볼트를 배포할 때 발생한 구조적 설계 오류를 악용했습니다. 구체적으로, 신중하게 구성된 매개변수를 Controller 계약에 주입함으로써 exchangeRate가 즉시 0이 되고, 담보 감지가 실패했으며, 모든 청산 및 위험 관리 메커니즘이 우회되었습니다.

공격자는 단 1웨이(wei)의 담보로 거액의 reUSD를 빌린 후, 자금 세탁 후 자산을 ETH로 전환하고 토네이도 캐시(Tornado Cash)를 통해 코인을 혼합했습니다. 이후 손실된 자산은 약 950만 달러에 달했습니다. SlowMist의 설립자인 위셴(Yu Xian)은 이를 금리 인플레이션의 허점이라고 지적했습니다.

Resupply는 6월 28일 해커 공격 분석 보고서를 발표하며, Resupply의 crvUSD-wstUSR 거래쌍에 대한 공격으로 약 1천만 달러 규모의 reUSD 부실채권이 발생했지만, 해당 취약점은 특정 토큰 거래쌍에서만 존재했다고 밝혔습니다. 다른 토큰 거래쌍은 영향을 받지 않았으며, Resupply 시장은 정상적으로 운영되었습니다. 현재 영향을 받은 토큰 쌍의 부채 한도는 0으로 설정되었으며, 보험 풀 출금은 중단되었습니다. 중단을 해제하려면 공식적인 거버넌스 투표가 필요합니다. 문제가 발생한 코드 세그먼트는 여러 차례 보안 감사를 거쳤으며, 독립적인 연구원들이 코드 베이스를 검토하기 위해 고용되었지만, 아직 문제가 보고되지 않았습니다. 현재 도난된 자금은 여전히 체인에 남아 있으며, 관련 상황을 모니터링하고 필요한 조치를 취할 예정입니다.

취약점 자체는 복잡하지 않지만, 프로토콜의 핵심 보안 경계를 허물고 있습니다. 하지만 진짜 논란은 프로젝트의 시정 조치에서 시작됩니다.

2. 프로젝트 당사자의 개선책: 거버넌스 제안이 부추 자르기로 바뀌는가?

6월 29일, 재공급 프로토콜의 공식 팀은 지역 사회에서 시정 조치 제안을 시작하면서, 지역 사회의 합의를 통해 프로토콜의 운영을 신속하게 복구할 것이라고 선언했습니다.

제안서의 구체적인 내용은 다음과 같습니다.

1단계: 즉각적인 거버넌스 조치 취하기

보험 풀(IP) 토큰 파기: 제안서를 작성할 당시, Resupply Protocol Treasury, Convex Treasury, C2tP가 2,868,832 reUSD를 지급한 후 미지불 부실채권 총액은 7,131,168 reUSD였습니다.

제안서에는 구체적으로 다음 사항이 명시되어 있습니다.

  1. 6,000,000 ReUSD의 부실채권이 보험 풀을 통해 소각될 예정이며, 이는 보험 풀의 3,870만 reUSD 중 15.5%에 해당합니다.

  2. 이 협정은 보험 풀의 부채를 줄이기 위해 지속적인 부실채권을 처리할 것입니다. 전체적으로 이는 보험 풀의 초기 부실채권 금액보다 400만 달러 감소한 수치입니다.

  3. 나머지 부실채권($1,131,168)은 재무 또는 거버넌스 부서에서 추후 결정할 계약 수수료 및/또는 잠재적인 RSUP 시장 외 판매 프로그램 등을 포함하되 이에 국한되지 않는 미래 수익원을 혼합하여 상환할 예정입니다.

IP 철회 기간:

  • 당국은 보험 풀 내 사용자 자금의 의무적 예치 기간을 단축하기 위해 최선을 다하고 있습니다. 이를 위해 개정된 재공급 제안에 대한 투표 기간이 3일로 단축됩니다.

  • DAO는 더 짧은 투표 기간을 활용하여 예금자의 이익을 위해 제안에 대한 신속한 온체인 결정을 내리고 초기 7일간의 IP 쿨다운 기간 내에 최종 결의에 도달할 수 있습니다.

  • DAO는 이 제안이 마감된 후 7일 동안 정기 투표 기간을 연장하거나, 표준 투표와 긴급 투표에 대한 다른 투표 시간과 같은 다른 옵션을 모색할 수도 있습니다.

2단계: 보험 풀 유지 계획

  • 개요: IP 유지 프로그램은 본 제안 시점에 보험 풀에 예치되어 있고 위 1단계에서 슬래싱된 사용자에게 적용됩니다. 이 프로그램은 슬래싱을 상쇄하기 위한 것이 아니며, 상쇄될 수도 있고 그렇지 않을 수도 있습니다. 오히려, 추가적인 유동자산 RSUP 토큰을 통해 슬래싱 후에도 보험 풀에 남아 있도록 장려하기 위한 것입니다. 옵트인(opt-in)이 기본 설정이지만, 참여하지 않기로 결정할 경우 언제든지 옵트아웃할 수 있습니다.

  • 옵트아웃(opt-out)을 선택하면 추가 유입되는 RSUP 주식이 나머지 주식에 분배됩니다. 이 제안은 계약서 배포를 필요로 하며, 계약서는 검토 및 배포가 완료된 후 추후 발행될 예정입니다.

  • 프로젝트 수익원: 보존 프로그램을 위해 전담 RSUP 릴리스 수신기가 생성됩니다.

이 제안이 통과되면 DAO는 52주 동안 총 250만 개를 수혜자에게 분배하게 됩니다.

위 제안의 핵심은 다음과 같이 해석될 수 있습니다.

  • 부실채권에 대한 헤지 목적으로 보험 풀에 있는 600만 달러가 소각되었습니다.

  • 나머지 113만 달러의 부실채권은 향후 계약 수익에서 상환될 예정입니다.

  • 보험 풀에 머무르는 사용자에게 스트리밍 RSUP 보상을 발행하여 신뢰를 안정화합니다.

  • 출금 채널 중단, 투표 주기 단축, 거버넌스 가속화

이 제안은 표면적으로는 신속한 커뮤니티 협업이지만, 커뮤니티에서는 일반적으로 이를 협상되지 않은 사용자 지불 메커니즘으로 간주합니다.

보험 풀은 원래 프로젝트 배포 취약점이 아닌 시장 변동에 대처하기 위한 것이었으며, 제안서에는 해커 자금 회수, 책임 소재, 경찰 신고 및 보상에 대한 내용이 언급되지 않았습니다. 프로젝트의 첫 번째 대응은 취약점에 대한 책임을 묻는 것이 아니라, 커뮤니티 자산을 활용하여 취약점을 메우는 것이었습니다.

거버넌스는 책임 전가를 위한 도구가 되었습니다.

3. 지역 사회의 분노: 피해자인가, 희생양인가?

공격 이후 Resupply의 디스코드 그룹은 폭발했습니다. 이후 몇몇 대형 LP들이 왜 보험 풀이 기술적 오류에 대한 비용을 부담해야 합니까?라고 질문하자, 관리자에 의해 강제로 추방되거나 차단되기도 했습니다.

사용자 불만은 세 가지 측면에 집중되어 있습니다.

  • 제도적 수준 : 계약 문서에는 보험 풀이 개발 오류를 보장해야 한다는 내용이 명확하게 명시되어 있지 않지만, 프로젝트 당사자가 나중에 일방적으로 용도를 조정했습니다.

  • 거버넌스 : 거버넌스 제안이 서둘러 추진되고, 사용자에게는 참여와 토론을 위한 충분한 공간이 제공되지 않습니다.

  • 감정적 수준 : 공격 이후 프로젝트 팀은 공감과 책임감을 보이지 않았고 대신 위험, 여론, 감정을 통제했습니다.

예를 들어, 6월 27일, OneKey 창립자 이시는 처음으로 공개적으로 연설하며 Curve가 모든 투자자에게 공정한 솔루션을 제공하고 프로젝트 당사자의 심각한 기술적 오류로 인해 손실된 사용자 자금을 반환할 것을 요구했습니다.

그는 자신이 Resupply의 최대 투자자 3인 중 한 명이며 수백만 달러의 손실을 입었다고 밝혔습니다. 그는 ERC 4626 볼트가 구축될 때 초기 지분이 파괴되지 않은 구조적 오류로 인해 공격이 발생했으며, 공격자는 거의 무료로 무제한 지분을 발행하여 볼트를 고갈시킬 수 있다고 생각했습니다.

그는 또한 이 프로젝트가 손실을 보험 풀 사용자들에게 전가하려 했을 뿐만 아니라, 디스코드 그룹에서 합리적인 질문자들을 차단했다고 지적했습니다. 그는 Curve, Convex, Yearn은 모두 기술, 거버넌스, 리소스 측면에서 Resupply를 지지했으며, 이후 가볍게 연계 해제해서는 안 된다고 말했습니다.

커뮤니티 멤버 @2233 3D는 Resupply팀이 여러 가지 직무유기를 저질렀다고 비난하는 영상을 게시했습니다. 그 내용은 주로 계약의 저수준 오류로 인한 해킹 사건 이후 회유 정책을 채택하고, 정지 조치를 취하지 않고, 보고하지 않고, 보상을 제공하지 않고, Discord에서 사람들을 쫓아내고 입을 가린 것, 그리고 시장 변동성 위험으로부터 보호하기 위해 사용된 보험 풀 사용자가 손실을 감수해야 한다고 주장하는 것이었습니다.

SlowMist의 설립자 유 시안은 이렇게 덧붙였습니다. 프로젝트 오너는 현상금에 대해 어떤 입장도 밝히지 않고 입장을 표명하지 않은 역사상 최초의 인물입니다. 제가 공격자였다면 저도 혼란스러웠을 겁니다. 프로젝트 오너는 왜 입장을 밝히지 않았을까요? 저는 블랙햇 해커인가요, 화이트햇 해커인가요?

이러한 거버넌스마저 인종 차별로 확대되었습니다. 6월 28일, 원키(OneKey) 창립자 이시는 프로젝트 멤버들과 소통하던 중 인종 차별을 암시하는 단어 chixx choxx를 접하게 되었다는 글을 게시하여 대중의 큰 분노를 샀습니다. 이 단어는 중국 커뮤니티에 대한 모욕적인 표현으로 널리 알려져 있습니다. 업계의 많은 사람들은 이시를 지지하는 슬래시(Slash) 캠페인을 즉시 시작하며 어떤 맥락에서도 인종 차별은 용서받을 수 없다고 강조했습니다.

Curve 창립자 마이클이 소송을 제기하고 싶어한다: 방관자가 아니라 피해자를 상대로?

이시는 6월 28일 트윗을 통해 마이클이 커브의 명예를 훼손했다며 자신을 고소하겠다고 했으며, 이에 불만을 표시하며 정직한 사람들이 괴롭힘을 당해도 괜찮다고 말했다고 전했습니다.

마이클의 지지자 @HaowiWang은 이 사건이 더 이상 누가 옳고 누가 그르냐에 대한 논쟁이 아니라, 커브 브랜드에 대한 체계적인 신뢰에 대한 공격이라고 공개적으로 반박했습니다. 그는 이시의 다섯 가지 주요 범죄를 다음과 같이 나열했습니다.

1. 악의적 명예훼손 및 사실 조작: 이시는 소셜 네트워크와 트위터에서 Resupply 사건을 Curve의 소행으로 반복해서 돌렸으며, 실제 통제 책임이 Curve에 있다고 암시하고 대중을 오도했습니다.

2. 명예 훼손: 공인으로서 이시는 직간접적으로 Curve라는 이름을 사용하였고, 이로 인해 이 프로젝트는 중국인 커뮤니티의 신뢰 위기에 처하게 되었습니다.

3. KOC에 대한 조직적 조작으로 허위 정보를 유포합니다. 이들은 OneKey 생태계에 다수의 KOC/KOL을 동원하여 여론을 유도하고 커브 공범이라는 서사를 구성할 수 있습니다.

4. 손실을 메우기 위한 압력을 행사하려는 의도는 명백합니다. 커브가 가장 큰 수혜자와 무응답은 묵인이라는 슬로건을 통해 커브가 손실을 메우도록 하려는 도덕적 압력을 만들어냅니다.

5. 증거 사슬은 완전합니다. 트윗, 스크린샷, 그룹 채팅 기록, 전달 네트워크 체인 등은 기소에 필요한 최소한의 기준을 구성합니다.

재공급 사고 검토: 대규모 해커, 사용자들은 구멍을 메우도록 강요, 보안 사고가 인종 차별 스캔들로 확대

재공급 사고 검토: 대규모 해커, 사용자들은 구멍을 메우도록 강요, 보안 사고가 인종 차별 스캔들로 확대

29일, 원키(OneKey)는 공식 성명을 통해 커브(Curve)나 다른 프로젝트에 대한 여론 공격을 위해 KOL이나 사용자를 어떤 형태로든 선동, 조직, 조종한 적이 없음을 분명히 밝혔습니다. 원키는 현재 소셜 플랫폼에서 일부 개인이 유포한 악의적인 비난과 허위 사실 유포에 대해 법적 책임을 질 것이며, 결코 용납하지 않을 것입니다. 또한, 설립자 이시(Yishi) 씨는 전적으로 개인 자격으로 투자에 참여했으며, 이는 그의 개인적인 행동이었습니다. 원키의 어떠한 공식적인 리소스도 이 프로젝트에 관여하지 않았습니다. 모든 원키 제품은 백도어가 없는 오픈 소스 설계이며, SlowMist와 같은 전문 보안팀의 철저한 감사를 거쳤습니다.

30일, 원키 창업자 이시는 커브 파이낸스에 의해 차단된 모습을 담은 스크린샷을 게시하며 졸업이라는 캡션을 달았습니다.

재공급 사고 검토: 대규모 해커, 사용자들은 구멍을 메우도록 강요, 보안 사고가 인종 차별 스캔들로 확대

결론: 위기 이후 남는 것은 합의가 아니라 균열이다

Resupply 사건은 해커 공격으로 시작되어 결국 거버넌스 책임, 커뮤니티 커뮤니케이션, 인종 차별, 브랜드 윤리를 둘러싼 포괄적인 위기로 발전했습니다.

DeFi가 공격을 받은 것은 이번이 처음이 아니며, 마지막도 아닐 것입니다. 하지만 해커의 대응이나 프로젝트의 사과 없이 커뮤니티가 손실 부담자의 입장에 놓인 것은 이번이 처음일 수 있습니다.

DeFi 세계에서 신뢰의 기반은 백서나 감사 보고서가 아니라 프로젝트 당사자의 사고 발생 후 최초 대응에 있습니다. 거버넌스 제안은 프로토콜을 복구할 수는 있지만, 분열된 커뮤니티를 복구할 수는 없습니다. 프로토콜은 여전히 작동하고 있지만, 신뢰는 사라졌고 다시는 돌아오지 않을 것입니다.

창작 글, 작자:叮当。전재 / 콘텐츠 제휴 / 기사 요청 연락처 report@odaily.email;违규정 전재 법률은 반드시 추궁해야 한다.

ODAILY는 많은 독자들이 정확한 화폐 관념과 투자 이념을 수립하고 블록체인을 이성적으로 바라보며 위험 의식을 확실하게 제고해 달라고 당부했다.발견된 위법 범죄 단서에 대해서는 관련 부서에 적극적으로 고발하여 반영할 수 있다.

추천 독서
편집자의 선택