3월 상위 3대 DeFi 사고
Resolv 프로토콜: 약 8,000만 달러
2026년 3월 22일, Resolv는 보안 침해를 당해 8,000만 달러*의 손실이 발생했습니다.
근본 원인은 권한 있는 인프라 키의 탈취였습니다. 탈취한 키를 이용해 공격자는 권한이 부여된 스왑 완료 흐름을 악용하여 세 번의 익스플로잇 트랜잭션에 걸쳐 동등한 담보 없이 8,000만 USR 이상을 발행했습니다. 근본 원인 자체는 단순했지만, 이 사고는 온체인과 오프체인 모두에서 광범위한 보안 통제의 부재를 드러냈습니다. 해당 프로젝트는 발행 승인 과정에서 엄격한 유효성 검증을 시행하지 않았으며, 침해를 적시에 감지하고 대응하기 위한 모니터링 전략도 갖추고 있지 않았습니다.
특히, 피해는 8,000만 건의 무단 USR 발행을 훨씬 넘어서 확산되었습니다. Resolv 자산이 여러 대출 프로토콜에서 담보로 널리 사용되었기 때문에, 디페깅은 더 광범위한 연쇄 피해를 촉발했습니다. Chaos Labs의 보고에 따르면, 자동화된 수익 추구 배분을 사용하는 온체인 큐레이터들은 실시간 리스크 통제 수단이 없어 이미 손상된 시장에 계속해서 신규 자본을 유입시켰습니다. 국소적인 익스플로잇으로 시작된 사건은 빠르게 크로스 프로토콜 연쇄 피해 사건으로 확대되어, 대출 프로토콜에 수백만 달러의 부실 채무를 남겼습니다.
*손실액은 USR의 페깅 가치 $1을 기준으로 추산되었습니다.
BitcoinReserveOffering: 약 270만 달러
2026년 3월 5일, 이더리움의 BitcoinReserveOffering 컨트랙트가 약 270만 달러 규모로 익스플로잇되었습니다.
근본 원인은 mint() 함수의 결함 있는 비즈니스 로직으로, 전체 ERC-3525 SFT 예치를 처리할 때 발행 로직이 두 번 실행되었습니다. ERC-3525는 ERC-721을 상속하기 때문에, 안전한 전송 시 onERC721Received() 콜백이 트리거됩니다. 콜백 내부에서 BRO 토큰 수량이 계산되어 호출자에게 발행되었습니다. 그러나 콜백이 반환된 후 외부의 mint() 함수가 재개되어 두 번째 발행 작업을 수행함으로써, 예치당 발행되는 BRO가 두 배로 늘어났습니다. 이를 통해 공격자는 공격 트랜잭션에서 반복적인 소각 및 발행 사이클을 통해 BRO 잔액을 부풀릴 수 있었습니다.
유사한 문제를 방지하기 위해, 프로토콜은 예치 작업당 자산 회계가 정확히 한 번만 이루어지도록 보장해야 하며, 콜백을 트리거할 수 있는 외부 호출 이전에 상태 업데이트가 커밋되어야 합니다. 또한, 발행 수량이 기초 예치 가치를 초과하지 않도록 보장하는 불변성 검사가 추가되어야 합니다.
Venus 프로토콜: 약 215만 달러
2026년 3월 15일, BNB 체인의 Venus THE(Thena) 마켓이 기부 공격과 시장 조작이 결합된 공격을 받았습니다. 이 사고로 프로토콜에 약 215만 달러의 부실 채무가 발생했으며, 공격자는 온체인에서 순 약 470만 달러의 손실을 입었습니다.
Venus는 Compound V2 포크 대출 프로토콜입니다. 피해를 입은 마켓은 온체인 유동성이 얕은 THE를 기초 자산으로 사용합니다. 마켓 컨트랙트가 컨트랙트의 원시 잔액으로부터 totalCash를 도출하기 때문에 기부 공격이 가능했습니다. 이를 통해 공격자는 THE를 마켓에 직접 기부하여 totalCash를 증가시키고 exchangeRate를 부풀렸습니다. 부풀려진 담보를 이용해 공격자는 유동 자산을 빌려 더 많은 THE로 교환하고 THE의 시장 가격을 끌어올렸습니다. 이렇게 획득한 THE 토큰은 마켓에 추가로 기부되어 공격의 영향을 지속적으로 확대시켰습니다.
이 사고는 대출 프로토콜에 회계 로직과 리스크 구성이라는 두 가지 측면에서 경고를 제시합니다. 프로토콜은 자산 가치를 정확하게 반영하고 기부 공격으로 왜곡될 수 없는, 조작 저항성 있는 회계 메커니즘을 구현해야 합니다. 또한, 공급 한도, 대출 한도, LTV(담보 인정 비율)와 같은 핵심 리스크 파라미터는 프로토콜 노출을 제한하도록 신중하게 구성되어야 합니다.
자세한 분석은 다음 심층 분석 게시물을 참고하세요:
https://blocksec.com/blog/venus-thena-donation-attack
위 정보는 2026년 3월 31일 00:00 UTC 기준 데이터를 바탕으로 합니다.
이것으로 3월 보안 사고 브리핑을 마칩니다. 블록체인 보안 사고 및 Web3 보안 트렌드에 대한 더 심층적인 분석은 저희 리소스를 통해 확인하실 수 있습니다.
보안 사고 라이브러리에서 더 자세한 내용을 확인하세요.
항상 정보를 파악하고 안전하게 지내세요!



