Resupply는 스테이블코인 자본 효율성을 재정의하겠다는 약속을 내세운 DeFi 프로토콜입니다. 그러나 2025년 6월 말, 중대한 익스플로잇이 발생하며 신뢰에 큰 타격을 입었고, 긴급한 위기 대응이 필요하게 되었습니다. 아래는 Resupply가 원래 무엇을 하려 했는지, 그리고 앞으로의 회복 계획에 대한 내용입니다.
Resupply는 무엇이며 어떻게 작동하나요?
Resupply는 사용자가 이자 수익을 창출하는 스테이블코인 예치를 담보로 하여 자체 스테이블코인인 reUSD를 차입할 수 있게 해주는 탈중앙화 스테이블코인 프로토콜입니다. 사용자는 Curve Lend와 같은 프로토콜에서 수익을 얻고 있는 스테이블코인을 예치하고, 해당 자산의 이자를 유지하면서도 유동성을 확보할 수 있었습니다.
이 시스템은 담보부 부채 포지션(CDP)을 사용하며, 외부 대출 시장과 직접 통합되어 있습니다. Resupply는 Convex와 Yearn 같은 DeFi 주요 프로젝트의 지원을 받아 구축된 서브DAO로 운영되며, 수익을 창출하는 담보 자산을 기반으로 reUSD를 발행합니다. 2025년 3월에 공식 출시되었고, 출시 전에는 동료 검토 기반의 감사를 거쳤습니다.
Resupply 익스플로잇은 어떻게 발생했나요?
2025년 6월 26일, Resupply는 약 950만~1.000만 달러 상당의 reUSD가 유출되는 익스플로잇을 당했습니다. 공격자는 Convex에 예치된 Curve USD의 스테이킹 버전인 cvcrvUSD 토큰의 가격 조작과 관련된 취약점을 노렸습니다.
공격자는 조작된 거래나 '기부'를 통해 가격을 인위적으로 상승시키는 방식으로 cvcrvUSD의 가치를 부풀렸습니다. 이렇게 왜곡된 가격은 ResupplyPair 계약에서 참조되었고, 이를 통해 공격자는 실질적인 담보 없이 거의 1억 달러에 가까운 reUSD를 차입할 수 있었습니다—단지 1 wei의 조작된 cvcrvUSD만으로 말이죠.
공격자는 어떤 행동을 했으며, 프로토콜은 어떻게 대응했나요?
공격자는 탈취한 reUSD를 빠르게 다른 토큰으로 전환한 뒤, Tornado Cash를 통해 자금을 분산하고 추적을 어렵게 만들었습니다. 이에 대해 Resupply는 다음과 같은 대응을 했습니다:
손상된 계약을 일시 중지함
보험 풀의 자산을 임시로 잠금
익스플로잇에 대한 투명한 사후 분석(post-mortem) 공개
Resupply는 손실된 reUSD에 대해 어떤 회복 계획을 세웠나요?
프로토콜은 구조화된 다단계 회복 계획을 발표했습니다:
Resupply와 Convex의 금고에서 이미 286만 reUSD가 상환됨
보험 풀에서 600만 reUSD를 소각 예정
최종적으로 113만 reUSD는 프로토콜 수수료나 RSUP 토큰 판매 등 DAO 수익원을 통해 점진적으로 상환 예정
Resupply는 또한 영향을 받은 사용자들을 위한 유지 프로그램을 시작하여, 보험 풀에 남아 있는 이용자에게 RSUP 인센티브를 제공합니다.
Resupply는 여전히 운영 중이며 신뢰할 수 있나요?
신뢰는 다소 훼손되었지만, Resupply의 신속한 대응, 상세한 소통, 초기 상환 조치는 사용자 회복에 대한 의지를 보여줍니다. 프로토콜은 여전히 활발한 거버넌스 하에 있으며 회복 조치가 진행 중이고, 팀은 도난된 자금의 흐름을 지속적으로 모니터링하고 있습니다.
결론:
이번 익스플로잇은 DeFi가 외부 가격 피드와 통합된 프로토콜에 얼마나 의존하는지에 따른 취약성을 드러냈습니다. 하지만 Resupply의 적극적인 회복 계획과 투명한 사건 처리 방식은 회복 가능성을 보여줍니다. 커뮤니티와 거버넌스가 로드맵을 성공적으로 실행할 경우, Resupply는 여전히 수익 최적화 스테이블코인 차입이라는 비전을 실현할 수 있을 것입니다.
