Peretasan senilai $23 juta terhadap stablecoin USR milik Resolv pada hari Minggu telah menyebabkan penularan di seluruh sektor DeFi.
Trader oportunistik menggunakan USR yang mengalami depeg untuk meminjam, menguras likuiditas di lebih dari selusin vault yield.
Yang memperburuk keadaan, apa yang disebut "kurator risiko" kemudian secara otomatis mengalokasikan lebih banyak dana ke pasar yang rusak saat suku bunga pinjaman melonjak.
Pada bulan November, penularan serupa melanda ekosistem vault "terkurasi" DeFi setelah Stream Finance mengumumkan kerugian $93 juta, yang menyebabkan penurunan 75% dari xUSD.
Meskipun ada diskusi tentang peringkat risiko dan kurator yang menempatkan modal kerugian pertama setelahnya, tampaknya tidak banyak yang dipelajari.
Baca selengkapnya: Empat bulan kemudian, MEV Capital menjadi korban implosion rantai daisy DeFi senilai $4B
Peretasan
Pernyataan Resolv Labs mengkonfirmasi bahwa kompromi kunci pribadi menyebabkan "pencetakan sekitar $80 juta USR tanpa jaminan" yang tidak sah (dan tidak terbatas).
Pasokan token USR sebelum peretasan tetap sepenuhnya didukung, dengan kerugian berasal dari penyedia likuiditas (LP) di bursa terdesentralisasi saat peretas menjual token yang dicetak. Misalnya, LP di Curve Finance saja diperkirakan telah kehilangan $17 juta.
Aksi jual peretas menyebabkan depeg USR, yang saat ini diperdagangkan pada $0,23, menurut data CoinMarketCap. Perusahaan keamanan blockchain Beosin menempatkan keuntungan penyerang pada 11.409 ether (ETH), bernilai lebih dari $23 juta pada saat penulisan.
Tim Resolv menghadapi kritik atas waktu respons yang lambat saat mengumpulkan tanda tangan multisig yang diperlukan untuk menjeda protokol.
Tim telah menghubungi eksploiter secara on-chain, meminta pengembalian 90% dari ETH yang dikonversi, serta USR yang tersisa.
Baca selengkapnya: Peretas Venus Protocol kehilangan $4,7 juta setelah sembilan bulan perencanaan
Dampak
Peretasan mungkin sederhana, tetapi efek domino sama sekali tidak sederhana.
USR yang mengalami depeg dimanfaatkan oleh trader oportunistik yang menggunakannya untuk menguras vault yield dengan oracle harga yang hardcoded. Dengan membeli USR murah untuk digunakan sebagai jaminan, pengguna dapat meminjam aset lain, seperti USDC, seolah-olah USR masih bernilai $1.
Baca selengkapnya: Kesalahan oracle menambah kekacauan di raksasa DeFi Aave
Seolah keadaan belum cukup buruk, strategi otomatis "kurator risiko" kemudian mengalokasikan dana lebih lanjut ke pasar yang terkena dampak, yang utilisasi tingginya telah melonjak hasil pasokan.
Omer Goldberg dari Chaos Labs menjelaskan bagaimana fitur Public Allocator Morpho memungkinkan kurator "termasuk Gauntlet, re7, kpk, dan 9summits" untuk mengalokasikan otomatis aset senilai jutaan dolar ke pasar "berdasarkan batas dan jalur kredit yang telah dikonfigurasi dan disetujui sebelumnya."
Dalam beberapa kasus, kata Goldberg, alokasi ke vault yang rusak berlanjut selama berjam-jam.
Kekacauan juga membawa inovasi, namun, karena alokasi otomatis bahkan secara khusus ditargetkan untuk membebaskan likuiditas tambahan. Pesaing yang berjiwa wirausaha Obsidian juga memanfaatkan insiden tersebut, menawarkan layanan migrasi kepada pengguna yang depositnya terjebak di vault Morpho yang tidak likuid
Menilai kerusakan
Paul Frambot dari Morpho menghitung 15 vault yang terkena dampak dengan eksposur lebih dari $10.000 terhadap USR.
Menurut peneliti keamanan Weilin Li, kurator vault yang terkena dampak, di Morpho dan tempat lain, termasuk Gauntlet, Re7, MEV Capital, Extrafi, Seamless, August, Clearstar, kpk, Leyrock dan 9Summits.
Bagi mereka yang mengikuti keruntuhan November, banyak dari nama-nama ini mungkin terdengar familiar.
Yearn, yang kontributornya termasuk di antara kritikus paling keras dari vault yield yang menyebabkan keruntuhan November, mengalami kerugian minimal sebesar $377.
Ironisnya (atau yang lebih mengungkapkan), manajer risiko Resolv sendiri, Steakhouse, tidak terpapar USR, meskipun menyatakan bahwa "secara operasional, Resolv menunjukkan ketelitian institusional" hanya lima hari sebelum peretasan.
Dukungan stablecoin DOLA milik Inverse Finance secara tidak langsung terpapar depeg USR, dengan tim berjanji untuk menambal lubang senilai $340.000.
Sejumlah pasar pinjaman menjeda pasar USR, termasuk Venus Protocol, yang sendiri diretas akhir pekan lalu, dan Lista.
Fluid adalah yang paling parah terkena dampak, dan mungkin telah mengakumulasi hingga $17,5 juta utang macet. Namun, tim meyakinkan pengguna bahwa mereka telah "mengamankan pinjaman jangka pendek untuk menutupi 100% utang macet."
Tim juga mempertimbangkan untuk menjual token FLUID "jika dana tambahan diperlukan."
Menyusul beberapa bulan yang sulit bagi protokol pinjaman terkemuka Aave, dengan drama tata kelola dan kesalahan oracle, Stani Kulechov dari Aave Labs ingin menyoroti kurangnya eksposur Aave.
Rantai daisy DeFi
Jaringan platform yang terkena dampak kompromi kunci pribadi tunggal adalah pengingat yang jelas tentang bagaimana salah satu inovasi kunci DeFi, interoperabilitas, adalah pedang bermata dua.
Alokasi otomatis mungkin mengoptimalkan pengembalian dalam kondisi normal, tetapi ketika sesuatu rusak, yang sering terjadi di DeFi, perilaku yang tidak diinginkan mengikuti.
Tanpa dana mereka sendiri yang dipertaruhkan, pengaturan saat ini memberi insentif "teori permainan jahat yang mendorong [kurator] untuk mencari lebih banyak risiko."
Episode terbaru ini telah memperbarui seruan bagi kurator untuk memiliki kepentingan langsung. Satu pendekatan adalah tranching deposit, dengan kurator ditetapkan untuk kehilangan pertama jika risiko mereka tidak "dikurasi" dengan benar.
Punya tip? Kirimkan email kepada kami dengan aman melalui Protos Leaks. Untuk berita yang lebih informatif, ikuti kami di X, Bluesky, dan Google News, atau berlangganan saluran YouTube kami.
Sumber: https://protos.com/resolv-hack-shows-defi-learned-nothing-from-last-contagion/
