Stablecoin Resolv Labs Anjlok 80% saat Exploiter Mencetak Jutaan Token USR Tanpa Jaminan

Pada hari Minggu, protokol keuangan terdesentralisasi Resolv Labs mengungkapkan bahwa proses pencetakan untuk stablecoin aslinya telah dieksploitasi.

Penyerang menciptakan 80 juta token USR tanpa dukungan setelah mendapatkan akses ke kunci privat proyek tersebut, kata Resolv Labs pada Senin pagi.

Dengan token yang dicetak tersebut, penyerang kemudian menukar token USR dengan versi yang di-stake dan menukarnya dengan stablecoin yang dipatok dolar milik Circle sebelum menggunakan aset tersebut untuk membeli Ether.

Secara keseluruhan, mereka berhasil melarikan diri dengan sekitar $23 juta dalam Ether, menurut data onchain, dan meninggalkan pemegang token USR dalam kesulitan.

CoinGecko menunjukkan bahwa stablecoin USR saat ini diperdagangkan di bawah $0,4, setelah turun hingga serendah $0,02.

Fungsi mint dan redeem proyek telah dimatikan untuk mengurangi kerusakan lebih lanjut, kata tim Resolv.

Stablecoin Resolv Labs mempertahankan patokannya dengan memanfaatkan strategi perdagangan yang menyeimbangkan posisi long dan short di seluruh aset volatil.

Ketika pengguna menyetor Ether untuk mencetak USR, protokol secara bersamaan membuka posisi short yang setara — bertaruh harga Ether akan turun — sehingga tidak peduli volatilitas aset tersebut, token USR tetap seimbang.

Eksploitasi terbaru ini, bagaimanapun, tidak ada hubungannya dengan mekanisme ini.

Eksploitasi kunci privat

Eksploitator di Resolv Labs mampu mencetak 80 juta token USR menggunakan antara $100.000 dan $200.000 dalam jaminan setelah mengkompromikan kunci privat proyek tersebut, menurut Chainalysis.

Mereka mampu mengesampingkan logika protokol setelah mengakses layanan manajemen kunci Resolv di Amazon Web Services.

Kunci privat adalah komponen penting dari smart contract, karena memungkinkan pemegang untuk melakukan tindakan yang mereka inginkan, seperti mencetak jutaan token tertentu.

Kontrak mint tidak memiliki oracle atau pemeriksaan mint maksimum untuk mencegah tindakan ini, menurut co-founder dari onchain explorer berbasis AI Herd, Andrew Whong.

Interoperabilitas menyerang balik

Resolv Labs dan pemegang USR bukan satu-satunya korban dari eksploitasi tersebut.

Berbagai protokol yang telah mengintegrasikan stablecoin tersebut juga terkena dampak keras, yaitu mereka yang menggunakan model kurator untuk menghasilkan yield bagi pengguna mereka.

Morpho Labs, protokol pinjaman yang menggunakan model kurator, memberikan contoh nyata tentang bagaimana eksploitasi seperti Resolv dapat menyebar ke seluruh DeFi.

Protokol Morpho memungkinkan manajer pihak ketiga untuk menyesuaikan kumpulan pinjaman mereka dan menetapkan parameter keamanan dan daftar token mereka sendiri. Manajer ini disebut kurator.

Risiko jatuh pada kurator dari kumpulan ini daripada Morpho, jika terjadi kesalahan.

"Saya ingin menegaskan kembali bahwa tidak ada kerentanan dalam kontrak Morpho. Mereka aman dan beroperasi sebagaimana dimaksud," kata Merlin Egalite, co-founder di Morpho, pada hari Senin.

"Untuk panduan tentang vault yang mungkin memiliki eksposur terhadap USR atau aset terkait Resolv, kami merekomendasikan untuk mengikuti komunikasi kurator yang relevan."

Gauntlet, Re7 Labs, kpk, dan 9summits adalah kurator Morpho yang telah menciptakan kumpulan yang disesuaikan — disebut vault — dengan eksposur terhadap USR.

Dalam beberapa kasus, kurator ini memiliki layanan likuiditas otomatis yang terus menyediakan likuiditas ke vault USR mereka berjam-jam setelah eksploitasi, memperburuk kerusakan lebih lanjut, kata pendiri Chaos Labs, Omer Goldberg.

Secara total, sekitar 15 vault dengan lebih dari $10.000 dalam likuiditas terkena dampak dari eksploitasi Resolv, kata co-founder Morpho Paul Frambot.

"Kurator telah merespons dengan cepat terhadap situasi yang menantang dengan tim Morpho membantu jika diperlukan," katanya.

"Meskipun demikian, kami akan terus bekerja dengan kurator untuk lebih meningkatkan alat yang tersedia untuk membantu mereka melalui peristiwa di masa depan."

Liam Kelly adalah koresponden DeFi DL News yang berbasis di Berlin. Punya informasi? Hubungi di [email protected].