몰타에 본사를 둔 스테이블코인 발행사 StablR은 일요일, 공격자가 취약한 다중 서명(multisig) 설정을 악용해 수백만 개의 담보가 없는 EURR 및 USDR 토큰을 발행한 뒤 이를 탈중앙화 거래소(DEX) 플랫폼에 대량으로 매도하는 보안 사고를 겪었다.
MiCA 규정을 준수하는 유로 스테이블코인이 3개 중 1개의 멀티시그 지갑이 해킹당해 수백만 달러가 유출된 후 0.85달러로 페그가 무너졌다
작성자
공유
주요 내용
- 5월 24일, 공격자들이 담보 없는 토큰을 발행한 후 StablR의 EURR은 0.85달러로, USDR은 0.40달러에서 0.64달러 사이로 급락했다.
- 보도에 따르면 3인 중 1인의 승인을 요구하는 멀티시그(multisig) 설정으로 인해 공격자가 발행 권한을 탈취하여 약 280만 달러 상당의 ETH를 빼돌린 것으로 알려졌다.
- 온체인 분석가들은 StablR의 취약한 다중 서명(멀티시그) 설정을 MiCA 규제가 막지 못한 거버넌스 리스크로 지목했다.
주요 취약점 악용으로 StablR의 두 스테이블코인이 페그를 이탈하며 EURR은 24%, USDR은 37% 급락
보도에 따르면 이번 침해는 스마트 계약 결함에서 비롯된 것이 아닙니다. 공격자들은 StablR의 발행 기능을 관리하는 3중 다중 서명 지갑 중 하나를 제어하는 단일 개인 키에 접근한 것으로 알려졌습니다. 공격자는 이 키 하나로 정당한 서명자를 제거하고, 자신이 제어하는 주소를 추가한 뒤 담보 없이 토큰을 발행했습니다.
일요일 오전 8시 10분(미국 동부 시간), StablR은 X를 통해 이 문제에 대해 다음과 같이 밝혔습니다:
"보안 업데이트: StablR에 영향을 미치는 취약점을 확인했으며, 이를 차단하고 영향을 최소화하기 위해 적극적으로 대응 중입니다. 사용자와 자금을 보호하는 것이 우리의 최우선 과제입니다. 확인된 세부 사항과 향후 조치에 대해서는 가능한 한 빨리 공유하겠습니다."
온체인 분석가들은 공격자가 약 835만 USDR과 450만 EURR을 발행한 뒤 유동성이 낮은 DEX 거래 쌍을 통해 이를 매도한 것으로 추정했습니다. 유출된 가치는 약 1,115 ETH(약 280만 달러 상당)로 보고되었으나, 담보 없이 발행된 토큰의 총액은 1,040만 달러에 달했을 수 있습니다.
이러한 매도 압력으로 인해 두 토큰의 페그가 빠르게 무너졌습니다. EURR은 24% 가까이 하락한 0.85달러까지 떨어졌습니다. USDR은 더 하락하여 0.64달러에 거래되었으며, 이는 연초 대비 거의 36% 하락한 수치입니다. USDR은 장중 최저치인 0.40달러를 기록했습니다. 두 토큰 모두 미국 달러, 비트코인, 이더리움 대비 급락했습니다.
StablR은 EURR을 유로 페그형 스테이블코인으로, USDR을 달러 페그형 토큰으로 마케팅하고 있으며, 두 토큰 모두 유럽연합(EU)의 암호화폐 시장 규정(MiCA) 프레임워크 하에서 규제 대상 상품으로 포지셔닝되어 있으며 준비금 증빙 정보를 공개하고 있다. 이 회사는 전통 금융과 탈중앙화 금융(DeFi) 시장을 연결하는 역할을 한다.
보안 업체 Blockaid는 이 사건을 공개적으로 지적하며, 3개 중 1개 키(1-of-3) 방식을 "핵심 관리 및 거버넌스 실패"라고 규정했다. 많은 관측통들은 단 하나의 유출된 키가 화폐를 발행할 권한을 가져서는 안 된다고 지적했으나, StablR의 구성은 정확히 그러한 상황을 허용한 것으로 알려졌다.
한 X(구 트위터) 계정은 일요일 게시물에서 “EURR 발행은 1/3 멀티시그(안전하지 않은 방식)로 제어되었는데, 공격자로 추정되는 인물이 서명자를 교체했다”고 적었다. “그들은 이후 계속해서 새로운 EURR을 전송 및 발행해 2차 시장에서 판매했고, 이는 2차 시장의 페그 이탈로 이어졌다. StablR이 이전에 EURR 발행을 위해 테더(Tether)의 하드론(Hadron) 토큰화 플랫폼을 사용한다고 밝힌 점은 주목할 만하다.”
이 사용자는 다음과 같이 덧붙였습니다:
"만약 이것이 악용 사례라면, MiCA(유럽 암호화폐 시장 규정)를 준수하는 스테이블코인 중에서는 최초의 사례입니다."
StablR은 공식 X 계정을 통해 이 취약점 공격을 인정했으나, 본문 작성 시점까지 상세한 기술적 사후 분석이나 복구 일정은 공개되지 않았다. X상의 커뮤니티 분석가들은 하루 종일 280만 달러에서 1,040만 달러에 이르는 손실 추정치를 두고 논쟁을 벌였다. 이처럼 큰 편차는 유출된 이더리움(ETH)과 시장에 유입된 무담보 토큰의 총 액면가 사이의 차이를 반영한다.
이번 사건은 계약 코드보다는 관리 통제 체계가 취약점으로 작용하는, 스테이블코인 발행사 전반에서 나타나는 패턴과 일치한다. 다중 서명(multisig) 임계값 상향, 발행 기능에 대한 시간 잠금, 속도 제한, 이상 탐지 시스템 등은 스테이블코인 네트워크의 표준적인 보안 조치들이다.
유럽에서 운영되는 스테이블코인 발행사에 책임을 묻기 위해 마련된 MiCA 규제 프레임워크는 이번 공격을 막을 수 있었던 운영 통제 조치를 요구하지 않은 것으로 보인다. 규제 당국과 감사 기관은 이번 사건 이후 핵심 관리 기준을 보다 직접적으로 다뤄야 한다는 압력을 받을 수 있다. EURR 및 USDR 보유자는 담보가 없는 공급량의 소각 계획, 준비금 보충 또는 보상 관련 업데이트를 확인하기 위해 StablR의 공식 채널을 주시해야 한다. USDT 및 USDC를 포함한 주요 미국 달러 스테이블코인은 영향을 받지 않았습니다. 광범위한 스테이블코인 시장은 이 사건을 큰 파급 효과 없이 흡수했으나, StablR 사건은 코드 취약점보다는 거버넌스 실패로 인해 페그(peg) 통제력을 상실한 중소 규모 및 지역 중심 발행사들의 사례가 늘어나고 있음을 보여줍니다.
