Resolv Labs Mengonfirmasi Eksploitasi Senilai $25 Juta yang Mencetak 80 Juta Token USR Tanpa Dukungan dan Menghancurkan Patokan Dolar

Sebuah stablecoin yang diperdagangkan pada harga $1 jatuh hingga sepersekian sen di beberapa pool. Mekanisme di baliknya layak dipahami secara tepat.

Bagaimana Serangan Bekerja

Resolv Labs mengkonfirmasi eksploitasi keamanan yang menargetkan fungsi minting kontrak stablecoin USR-nya. Serangan dilaksanakan dalam dua tahap. Pada tahap pertama, penyerang menggunakan sekitar $100.000 senilai USDC untuk mencetak 50 juta token USR melalui fungsi requestSwap dan completeSwap protokol, dengan rasio sekitar 500 banding 1 antara modal yang digunakan dan token yang dihasilkan. Perusahaan keamanan PeckShield mengidentifikasi transaksi kedua tak lama setelahnya di mana penyerang mencetak tambahan 30 juta USR, membawa total penerbitan tidak sah menjadi 80 juta token.

Analis dari D2 Finance mengidentifikasi tiga vektor potensial untuk pelanggaran tersebut: oracle yang dikompromikan yang memberikan data harga yang salah ke dalam fungsi minting, penandatangan off-chain yang bocor yang kredensialnya mengotorisasi pencetakan tanpa dukungan yang sah, atau ketiadaan kritis validasi jumlah selama proses minting itu sendiri. Salah satu dari ketiganya akan memungkinkan penyerang untuk melewati kontrol yang seharusnya mencegah penerbitan tanpa dukungan pada skala tersebut. Investigasi masih berlangsung dan tidak ada penyebab tunggal yang telah dikonfirmasi secara publik.

Depeg dan Kerugiannya

Konsekuensi dari menyuntikkan 80 juta token tanpa dukungan ke dalam infrastruktur likuiditas USR bersifat segera. USR jatuh dari patokan $1.00-nya, diperdagangkan serendah $0.257 di beberapa platform. Di pool USR/USDC pada Curve Finance, di mana likuiditas terkonsentrasi memperkuat dampak harga, token tersebut turun menjadi sekitar $0.025 karena slippage parah saat penyerang menukar token yang dicetak menjadi stablecoin yang sah.

Penyerang berhasil mengekstrak setidaknya $25 juta dengan menukar USR yang dicetak dengan USDC dan USDT sebelum mengonversinya menjadi sekitar 11.422 ETH. $100.000 dalam USDC yang digunakan untuk memulai eksploitasi menghasilkan keuntungan setidaknya $25 juta, pengembalian 250x atas modal yang digunakan untuk menjalankan serangan.

Resolv Labs menyatakan bahwa aset agunan asli protokol tetap memadai dan tidak dicuri secara langsung dalam eksploitasi tersebut. Kerusakan bukan berasal dari mengambil apa yang ada di sana tetapi dari menciptakan apa yang seharusnya tidak ada di sana dan mengonversinya menjadi nilai nyata sebelum protokol dapat merespons.

Respons Protokol dan Dampak Pasar

Resolv Labs menghentikan semua fungsi protokol segera setelah mengkonfirmasi pelanggaran, menghentikan pencetakan lebih lanjut dan membatasi kerusakan tambahan. Tim menyatakan sedang menyelidiki eksploitasi dan berupaya memulihkan dana yang diekstrak, meskipun pemulihan dana yang dikonversi menjadi ETH dan dipindahkan melalui infrastruktur DeFi secara historis sulit.

Dampaknya meluas melampaui protokol Resolv sendiri. Euler Labs menonaktifkan fungsi agunan USR dan RLP di seluruh platformnya. Venus Protocol menangguhkan perdagangan USR sepenuhnya untuk melindungi pengguna dari eksposur terhadap aset yang terlepas dari patokan. Respons-respons tersebut mencerminkan sifat saling terhubung dari infrastruktur agunan DeFi, di mana eksploitasi stablecoin di satu protokol menciptakan risiko langsung bagi setiap protokol yang menerima stablecoin tersebut sebagai agunan atau pasangan perdagangan.

Eksploitasi ini mengikuti pola yang telah muncul berulang kali dalam insiden keamanan DeFi. Kerentanannya bukan pada agunan aset yang mendasari tetapi pada logika kontrak yang mengatur bagaimana token baru diterbitkan. Ketika fungsi minting tidak memiliki validasi yang memadai, persyaratan dukungan yang memberikan nilai pada stablecoin dapat dilewati sepenuhnya tanpa menyentuh cadangan yang mendasarinya. Biaya masuk $100.000 dan keluar $25 juta mengkonfirmasi betapa asimetrisnya kerentanan itu ketika tidak terdeteksi.

Postingan Resolv Labs Mengkonfirmasi Eksploitasi $25 Juta yang Mencetak 80 Juta Token USR Tanpa Dukungan dan Merusak Patokan Dolar muncul pertama kali di ETHNews.