960만 달러 규모의 탈중앙화 금융 거래 재공급 도난 사건에 대한 요약

작성자: Fairy, ChainCatcher

편집자: TB ChainCatcher

문제 발생 후 첫 반응은 종종 팀의 진정한 속내를 드러냅니다.

탈중앙화 스테이블코인 프로토콜인 리서플라이에서 960만 달러가 도난당한 사건은 겉보기에는 '일상적인' 디파이 보안 사고였으나 며칠 만에 극적으로 악화되었습니다. 프로젝트 소유자는 아무런 입장도 밝히지 않았고, 보상도 제공하지 않았으며, 투자자 원키의 설립자가 공개적으로 자신의 권리를 옹호하는 등 사건은 단 며칠 만에 극적으로 악화되었습니다. 이 사건은 기술적인 문제에서 가치관의 충돌로 빠르게 발전했고, 그 배후에 있는 Curve 생태계에도 영향을 미쳤습니다.

이 사건은 더 이상 단순한 도난 사고가 아니라 기술적 실패와 거버넌스의 오만함의 공격으로 통제 불능의 연쇄 붕괴로 번져나간 사건입니다.

사건 검토: 보안 사고에서 PR 재앙으로

6월 26일, Resupply는 공격을 받아 약 950만 달러의 손실을 입었습니다. 사건 발생 후 팀은 상황을 설명하는 짧은 트윗을 올렸지만 해커를 추적하거나 현상금을 게시하지 않아 커뮤니티에서 의문을 제기했습니다.

동시에 사용자들이 Discord에 문제를 제기한 후 금지 및 삭제되었다고 신고하면서 커뮤니티 분위기는 급격히 악화되었습니다. 원키의 설립자인 이시는 공개적으로 입장을 밝히며 리서플라이의 3대 투자자 중 한 명인 자신도 수백만 달러를 잃었다고 밝히며 프로젝트가 많은 손해를 보았다고 언급했습니다. 원키의 설립자인 이시는 공개적으로 리서플라이의 3대 투자자 중 한 명으로서 수백만 달러의 손실을 입었다고 밝히며 프로젝트가 보험 풀 예금자에게 부실 대출을 강요하고, 즉 일반 서약 사용자가 기술적 실패에 대한 비용을 지불하도록 하고 있다고 지적했습니다.

6월 28일, 리서플라이는 공격에 대한 분석을 발표하며 취약점이 특정 토큰 쌍에만 영향을 미쳤고 나머지 시장은 정상적으로 작동하고 있으며, 600만 리달러의 보험 풀을 사용하여 부실 채권을 인수하고 나머지는 향후 계약 수익금을 통해 점진적으로 상환하는 거버넌스 제안을 발표했습니다. 나머지 부분은 향후 계약 수익금을 통해 점진적으로 상환할 계획입니다. 하지만 이러한 조치로도 '분노'는 가라앉지 않았습니다.

6월 29일, 이시는 다시 한 번 목소리를 높이며 애초에 책임을 지려 하지 않고 오히려 "사용자의 주머니에서 직접 돈을 빼앗아갔다"며 잠금 해제 기간을 연장하고 인출을 제한한 팀을 비판했습니다. 이시는 책임을 지는 대신 "사용자의 주머니에서 직접 돈을 빼앗았다"고 다시 한 번 비판했습니다. 이 회사의 커뮤니티에는 욕설과 인종차별적인 댓글도 가득합니다.

또한, 탈중앙 금융 연구원 @22333D는 낮은 수준의 계약 오류 이후 책임감이 부족한 팀을 비난하는 동영상을 여러 개 올렸습니다. 슬로우 미스트의 설립자 유 인(Yu Yin)은 역대 최악의 보안 사고 처리 상위 10위 목록에 슬로우 미스트를 포함시킬 것을 공개적으로 언급하기도 했습니다.

이번 보안 사고는 결국 '관리 소홀 + 여론 탄압 + 커뮤니티 분열'을 포괄하는 복합적인 위기로 발전했습니다.

리서플라이 팀의 '안전의 흑역사' >

이 공격에서 해커들은 리서플라이페어 계약의 가격 조작 취약점을 ERC4626 인플레이션 취약점과 결합하여 약 1,000만 달러의 리워드를 담보로 대출받았습니다. 그러나 이 공격은 정교하지 않았으며, 크립토 KOL은 이를 "가장 흔한" 실수라고 부르며 핵심 계약 설계에 대한 팀의 심각한 과실을 드러냈습니다.

더 우려스러운 점은 리서플라이 개발팀이 보안에 실패한 것이 이번이 처음이 아니라는 점입니다.

2024년 3월, 리서플라이의 전신인 프리즈마 파이낸스는 해킹으로 1,160만 달러 이상의 손실을 입었습니다. 공격자들은 자신을 화이트 해커라고 주장하며 여러 메시지를 남겼습니다. 하지만 이 사건은 9개월 후 프리즈마 프로젝트가 공식적으로 종료되고 리서플라이가 '후계자'로 출범할 때까지 아무 일도 일어나지 않았습니다.

커뮤니티 사용자들에 따르면 지난 몇 년 동안 이 팀의 관련 프로젝트는 연평균 약 천만 달러의 자금 손실을 입었다고 합니다. (참고: 리서플라이는 컨벡스 파이낸스와 얀파이 사이의 서브DAO 프로토콜입니다.) 이러한 비정상적인 '빈도'로 인해 커뮤니티에서는 리서플라이 팀이 도용 혐의를 받고 있는 것은 아닌지 의문을 제기하고 있습니다.

사진 제공: @22333D

트러스트 확산 균열: 커브 에코Trust Spreading Cracks. span>

리서플라이 사태가 곪아 터지면서 Curve는 신뢰 위기의 한가운데에 서게 되었습니다. 두 사람은 같은 팀은 아니지만 밀접한 관련이 있으며, 리서플라이 프로토콜은 유동성 풀과 지원 메커니즘에 의존해 커브 생태계를 기반으로 구축되었습니다. 출시 초기에 Curve는 공식적으로 리서플라이를 지지했습니다.

이런 이유로 많은 사용자가 Curve에 대한 신뢰를 바탕으로 리서플라이에 서약하고 보험 풀에 참여하기로 결정했습니다. 결과적으로 리서플라이의 성장은 커브의 성장에 도움이 되고 있습니다.

크립토 KOL 크립토 워커 웨인은 22년 루나 충돌 이후 다음과 같은 여러 사건 이후 커브의 TVL이 절벽에서 급락했다고 말했습니다. 마이클의 집 구입, 2번의 해킹, stETH의 창에서 벗어남, 그리고 꾸준한 하락에 이은 FTX 충돌.

리서플라이가 3월 출시와 함께 커브에 활기를 불어넣었지만, '리뉴얼 디스크'를 둘러싼 논란은 이제 해묵은 구설수를 다시 끄집어내고 있습니다.

커뮤니티의 일부 사용자는 Curve 에코 프로젝트를 보이콧하겠다고 주장하기 시작했고, 다른 사용자는 에코 프로젝트의 기술적 실패에 대해 Curve가 책임을 져서는 안 된다고 생각했습니다. 그러나 더 많은 사용자들은 Curve 팀과 창립자 마이클의 사후 대응에 실망하여 서둘러 리서플라이와의 관계를 해명하고 공개 성명에서 프로젝트의 리서플라이 측을 옹호하는 경향이 더 많았습니다.

또한 마이클은 원키 설립자 이시가 공개적으로 자신의 권리를 옹호하자 "다시는 원키를 사용하지 않겠다"고 주장했을 뿐만 아니라 이시를 고소하겠다고 말하기도 했습니다. 그는 또한 "Curve의 명예를 훼손했다"는 이유로 이시를 고소하겠다고 말했습니다.

재공급 "">리서플라이의 신뢰 붕괴는 코드 오류에서 비롯된 것뿐만 아니라 이번 사태로 드러난 프로젝트 측의 윤리적 한계를 반영하고, 생태계 확장에 있어 책임감, 투명성, 책임성의 부재를 드러내는 거울 역할을 하고 있습니다.

사고의 여파는 결국 가라앉겠지만, 신뢰의 균열은 결코 치유될 수 없을 것입니다.