Pharos 생태계 보안 가이드: RWA 자산 통합의 전 과정 리스크 관리
- 핵심 관점: 본 문서는 Pharos 생태계 개발자들에게 실물 자산(RWA) 통합을 위한 심층 기술 가이드를 제공하며, RWA 보안 리스크의 핵심은 오프체인과 온체인의 연결 지점에 있음을 강조하고, Pharos의 기술적 특성에 기반하여 맞춤형 리스크 관리 및 통합 전략을 제시합니다.
- 핵심 요소:
- Pharos의 Block-STM 병렬 실행 엔진은 초 단위 거래 확정을 가능하게 하여, RWA 비즈니스가 오프체인 자금 입금과 온체인 결제 사이의 시간차 리스크를 제거하는 데 도움이 됩니다.
- Pharos는 EVM과 WASM 이중 런타임 환경을 지원합니다. EVM은 기존 DeFi 프로토콜 연결에 사용되고, WASM은 RWA에 필요한 고성능, 저비용의 복잡한 리스크 관리 로직 실행에 적합합니다.
- RWA가 직면하는 주요 리스크에는 신원 및 규정 준수 절차가 형식적임, 단일 스테이블코인에 대한 과도한 의존으로 인한 디페그 리스크, 오프체인 자산 데이터의 진위성 검증 부족, 법인격 분리의 불투명성, 그리고 이차 시장 유동성의 급격한 고갈 위험이 포함됩니다.
- 개발 제안사항으로는 스마트 컨트랙트 계층에서 화이트리스트 및 KYC 메커니즘의 강제 통합, 오라클을 활용한 스테이블코인 가격 모니터링 및 자동 서킷 브레이커 발동, 그리고 다중 소스 오라클을 통한 자산 순자산가치(NAV)의 분 단위 온체인 업데이트 등이 있습니다.
- 유동성 리스크에 대응하기 위해, 컨트랙트 내에 자산 순자산가치(NAV) 기반의 직접 상환 대기열 기능을 내장하고, 일부 스테이블코인을 온체인 유동성 완충 자산으로 강제로 보유하는 것을 권장합니다.
- 컨트랙트 보안 측면에서는, 표준 권한 제어 라이브러리를 사용해야 하며, 프록시 업그레이드 시의 스토리지 슬롯 충돌을 엄격히 관리하고, 배당금 지급 및 상환 등 핵심 함수에서 재진입 공격을 방지해야 합니다.
이 글은 Pharos 생태계의 개발자들에게 보다 실용적이고 심도 있는 RWA 통합 참고 자료를 제공하기 위한 목적으로 작성되었습니다. 우리는 비즈니스 로직과 리스크 관리 구조의 관점에서, 실제 세계 자산(RWA)이 온체인될 때 직면하는 복잡한 도전과 그 대응 방안을 재현해 보려 합니다.
서론
Pharos 생태계는 전통 금융 자산과 Web3 세계를 연결하는 인프라가 되고자 합니다. 네이티브 암호화폐 자산과 달리, 실제 세계 자산(RWA)은 오프체인 실물 권리와 온체인 거래 속성을 동시에 지닙니다. 이러한 이중 속성은 그 안전 경계가 스마트 계약 수준에만 머물 수 없으며, 자산 권리 확인, 데이터 동기화 및 규제 준수의 모든 틈새까지 확장되어야 함을 의미합니다.
주요 RWA 프로젝트에 대한 심층 분석[1]을 바탕으로, 우리는 아키텍처 패턴, 핵심 리스크 영역 및 통합 전략이라는 세 가지 차원에서 Pharos 개발자들이 견고한 RWA 애플리케이션을 구축하는 핵심 경로를 정리하겠습니다.
1. Pharos가 RWA에 적합한 이유는?
Pharos는 인터넷 규모를 목표로 하는 Layer 1입니다. RWA 개발자에게는 기본 합의 메커니즘의 세부 사항을 깊이 이해할 필요 없이, 자산 결제와 복잡한 계산이라는 두 가지 핵심 문제를 해결하는 데 집중하면 됩니다.
1. 병렬 실행 및 아초 단위 확정성 (Block-STM) 기존 EVM은 거래를 직렬 처리하여, 대규모 RWA 배당금 지급이나 리밸런싱 시 정체가 쉽게 발생합니다. Pharos는 Block-STM 병렬 실행 엔진을 도입하여 아초 단위의 최종성을 실현합니다.
- 이는 오프체인 자금 입금과 온체인 결제가 거의 동시에 완료될 수 있음을 의미하며, "T+1"로 인한 환율 변동과 슬리피지 리스크를 제거합니다.
2. 듀얼-VM 아키텍처 (EVM + WASM) Pharos는 EVM과 WASM 이중 실행 환경을 네이티브로 지원합니다.
- EVM 레이어: 연결을 담당합니다. 기존의 Solidity 대출 프로토콜, DEX 코드를 직접 배포하여 RWA 자산을 수용할 수 있습니다.
- WASM 레이어: 계산을 담당합니다. RWA는 복잡한 이자 세금, 계층형 리스크 관리 및 규제 준수 화이트리스트 로직을 포함하는데, 이를 EVM에서 실행하면 가스 비용이 매우 높고 효율이 낮습니다. 이러한 계산 집약적 로직을 WASM 모듈로 이전하여 고성능, 저비용의 온체인 리스크 관리를 구현할 수 있습니다.
https://docs.pharosnetwork.xyz
2. RWA의 두 가지 운영 로직
Pharos 상의 RWA 프로토콜을 설계하기 전에, 개발자는 두 가지 주요 자산 흐름 모델과 그 자금 회로를 명확히 이해해야 합니다:
1. 온체인에서 오프체인으로의 모델
이는 현재 가장 일반적인 모델로, 본질적으로 온체인 자금 조달, 오프체인 자산 운용입니다. 투자자가 온체인에서 스테이블코인(예: USDC)을 스테이킹 → 프로젝트 측이 모아 법정화폐(USD)로 전환 → 오프체인 고유동성 자산(예: 미국 국채)에 투자 → 얻은 이자 수익이 온체인으로 환류되어 토큰 보유자에게 분배됩니다.
사례: Matrixdock의 $STBT. 적격 투자자가 $STBT(단기 미국 국채에 1:1로 페깅)를 발행하면, 자금은 프로젝트 측이 국채 구매에 사용하며, 온체인 보유자는 약 4.8%의 연간 수익을 누립니다.
2. 자산 온체인화 모델
이 모델은 특정 자산의 증권화와 분할화에 중점을 둡니다. 프로젝트 측이 특정 오프체인 자산(예: 부동산)을 잠금 및 평가 → 해당 지분에 상응하는 ERC-20 토큰 발행 → 투자자가 스테이블코인으로 청약 → 프로젝트 측이 오프체인 자산 유지 및 운영 담당 → 발생한 현금 흐름(예: 임대료)을 정기적으로 온체인 배당.
사례: RealT의 부동산 토큰화. 예를 들어 디트로이트의 한 주택(가치 65,900달러)을 1300개의 토큰으로 분할하여, 투자자가 토큰을 구매하면 해당 부동산의 임대료 배당권을 갖게 됩니다.
3. 리스크 지도와 Pharos 통합 전략
RWA의 치명적 리스크는 종종 코드 안에 있지 않고, 오프체인과 온체인의 연결 지점에 있습니다. 기존 RWA 프로젝트는 신원 확인, 자산 페깅 및 데이터 투명성에서 뚜렷한 구조적 결함을 보입니다. 개발자가 Pharos에서 애플리케이션을 구축할 때는 다음의 회색 코뿔소 리스크에 중점적으로 대비해야 합니다.
https://dl.acm.org/doi/epdf/10.1145/3689931.3694913
1. 투과적인 신원 규제 준수
프로젝트가 규제를 준수한다고 주장하지만, 실제로는 형식에 그치는 경우가 많습니다. 통계에 따르면, 절반 미만의 프로젝트만이 효과적인 KYC를 시행했으며, 심지어 유명 프로젝트(예: RealT)의 영상 확인 단계에서 사진 한 장으로 쉽게 속일 수 있었던 적이 있습니다. 일부 프로젝트는 백서에서 AML을 강조하지만, 실제 운영에서는 지갑 연결만으로 거래가 가능해 자금 출처를 전혀 추적할 수 없습니다.
https://dl.acm.org/doi/epdf/10.1145/3689931.3694913
Pharos 개발 제안:
- 웹 프론트엔드에서만 신원 확인을 하지 마십시오. 반드시 스마트 계약 레이어에 화이트리스트 메커니즘을 통합하여, DID(분산 신원) 또는 오프체인 KYC 검증을 통과한 주소만이 mint 또는 transfer 함수를 호출할 수 있도록 해야 합니다. $STBT를 예로 들면, ERC-20의 transfer 및 transferFrom 함수를 재작성하여 인증된 화이트리스트만 호출할 수 있게 합니다.
https://etherscan.io/address/0x530824da86689c9c17cdc2871ff29b058345b44a#code
- 고가치 자산 거래의 경우, 2FA 메커니즘을 도입하여 개인키 유출로 인한 자산 도난을 방지하십시오. 연구에 따르면 현재 소수의 프로젝트만이 이를 구현하고 있습니다.
2. 스테이블코인의 의존성과 서킷 브레이커
스테이블코인은 RWA의 혈액으로, 거의 90%의 프로젝트가 결제 수단으로 스테이블코인에 의존합니다. 그러나 개발자들은 종종 스테이블코인 자체의 디페그 리스크, 예를 들어 SVB 사태로 인한 USDC 디페그 또는 USDe 등의 디페그 리스크[2]를 간과합니다. 디페그가 발생하면, 프로젝트에 위기를 처리할 전용 리스크 준비금이 있습니까?
https://x.com/ethena_labs/status/1976773136294224071
Pharos 개발 제안:
- 오라클은 가격 정보 제공뿐만 아니라 리스크 트리거로도 활용해야 합니다. 결제 통화로 사용되는 스테이블코인(예: USDC/USDT)의 가격이 페그 값에서 임계값(예: 5%) 이상 벗어나는 것을 감지하면, 계약이 자동으로 발행 및 상환을 일시 중지하여 프로토콜이 차익 거래 공격을 받는 것을 방지해야 합니다.
- 자금 풀 설계 시, 여러 스테이블코인 또는 심지어 바스켓 통화를 지원하는 것을 고려하여 단일 자산의 시스템적 리스크 영향을 줄이십시오. 동시에 스테이블코인 선택 시 메커니즘이 복잡한 알고리즘 스테이블코인은 가능한 한 피하십시오. 이러한 스테이블코인은 디페그 가능성이 가장 높습니다.
3. 데이터 브리징과 진실성 검증
RWA의 가장 큰 블랙박스는 온체인 자산이 정말로 오프체인 실물 자산에 대응하는지 여부입니다. 많은 프로젝트의 소위 정보 공개는 단지 웹페이지에 PDF 파일 몇 개를 올려놓는 것에 불과하며, 심지어 순환 재생되는 녹화 영상으로 실시간 모니터링을 사칭하는 터무니없는 사례도 있었습니다. OpenEden의 자산 순자산가치 보고서도 한 달 지연된 적이 있습니다.
https://dl.acm.org/doi/epdf/10.1145/3689931.3694913
Pharos 개발 제안:
- Chainlink와 같은 오라클 네트워크를 활용하여 오프체인 수탁 은행 또는 감사 기관의 API에 직접 연결하십시오. Pharos 개발자는 프로젝트 측의 월간 또는 분기별 보고서에 의존하기보다는 자산 순자산가치(NAV)의 분 단위 온체인화를 구현하는 데 힘써야 합니다.
- 프로젝트 가치 평가 편차 리스크는 종종 발생합니다. 개발 시 다중 소스 오라클 가격 정보 공급을 도입하여 가능한 한 온체인 가격이 오프체인 시장을 진실하게 반영하도록 해야 합니다.
4. 법인격의 격리와 투명성
오프체인 자산 채무 불이행은 RWA에서 간과할 수 없는 리스크입니다. 예를 들어 Goldfinch는 590만 달러의 신용 채무 불이행을 경험한 바 있습니다[4]. 리스크 격리의 핵심은 SPV에 있지만, 약 소수의 프로젝트만이 SPV 구조를 사용한다고 공개적으로 밝혔으며, 대부분 구체적인 등록 법인명을 공개하지 않았습니다. Goldfinch 위기 사례를 보면, $GFI 토큰 가치가 20% 하락하여 투자자들이 이유도 모르고 심각한 손실을 입었습니다.
Pharos 개발 제안:
- 프로젝트 메타데이터 또는 설명 문서에서 자산을 보유한 SPV의 법적 명칭 및 등록지를 의무적으로 공개하십시오.
- 각 자산 풀이 독립된 SPV에 대응하도록 보장하십시오. Pharos의 계약 설계에서 서로 다른 자산 풀의 자금은 논리적으로 완전히 분리되어야 하며, 단일 자산 채무 불이행이 전체 프로토콜의 유동성을 고갈시키는 것을 방지해야 합니다.
5. 허위 번영 이후의 유동성 고갈
유동성은 RWA 프로젝트에서 가장 쉽게 위조되지만 또한 가장 쉽게 붕괴되는 부분입니다[2]. 많은 RWA 프로젝트의 초기 상장 시장 심도는 시장 조성자 보조금에 크게 의존합니다. 시장 조성 프로토콜 기간이 만료되거나 보조금이 중단되면, 2차 시장 심도는 종종 절벽식 하락을 보이며 매수 주문이 순식간에 사라집니다. 또한, 오프체인 자산 가치 평가의 저빈도성(일반적으로 월간 또는 분기별 NAV)과 온체인 거래의 고빈도성(초 단위 블록 생성) 사이에는 본질적인 시간적 불일치가 존재합니다. 온체인에서 대규모 매도가 발생하면,
