Стейблкоїн Resolv Labs обвалився на 80%, оскільки зловмисник випустив мільйони незабезпечених токенів USR

У неділю протокол децентралізованих фінансів Resolv Labs повідомив, що процес випуску його власного стейблкоїна було скомпрометовано.

Зловмисник створив 80 мільйонів непідкріплених токенів USR після отримання доступу до приватних ключів проєкту, повідомила Resolv Labs у понеділок вранці.

Після випуску цих токенів зловмисник обміняв токени USR на їх застейковані версії і обміняв їх на прив'язаний до долара стейблкоїн Circle, перш ніж використати ці активи для купівлі Ether.

Загалом вони вкрали приблизно 23 мільйони доларів у Ether, згідно з ончейн-даними, і залишили утримувачів токенів USR у скрутному становищі.

CoinGecko показує, що стейблкоїн USR зараз торгується нижче $0,4, впавши до мінімуму $0,02.

Функції випуску та викупу проєкту були вимкнені для пом'якшення подальшої шкоди, повідомила команда Resolv.

Стейблкоїн Resolv Labs підтримує свою прив'язку, використовуючи торговельні стратегії, які балансують довгі та короткі позиції у волатильних активах.

Коли користувачі вносять Ether для випуску USR, протокол одночасно відкриває рівні короткі позиції — ставки на те, що ціна Ether впаде — так що незалежно від волатильності активу, токен USR залишається збалансованим.

Однак останній експлойт мав мало спільного з цим механізмом.

Експлойт приватного ключа

Зловмисник у Resolv Labs зміг випустити 80 мільйонів токенів USR, використовуючи заставу від $100 000 до $200 000 після компрометації приватних ключів проєкту, згідно з Chainalysis.

Вони змогли обійти логіку протоколу після отримання доступу до сервісу управління ключами Resolv на Amazon Web Services.

Приватні ключі є критичним компонентом смарт-контрактів, оскільки вони дозволяють власникам виконувати бажані дії, такі як випуск мільйонів конкретного токена.

Контракт на випуск не мав орікула чи перевірок максимального випуску для запобігання цієї дії, за словами співзасновника ончейн-дослідника з підтримкою AI Herd, Ендрю Вонга.

Кросчейн завдає удару у відповідь

Resolv Labs та утримувачі USR були не єдиними жертвами експлойту.

Різні протоколи, які інтегрували стейблкоїн, також зазнали значних втрат, зокрема ті, що використовують модель куратора для генерації прибутку для своїх користувачів.

Morpho Labs, протокол кредитування, що використовує модель куратора, надав яскравий приклад того, як експлойти на зразок Resolv можуть поширюватися через DeFi.

Протокол Morpho дозволяє сторонньм менеджерам налаштовувати свої пули кредитування та встановлювати власні параметри безпеки та лістинги токенів. Ці менеджери називаються кураторами.

Ризик лягає на кураторів цих пулів, а не на Morpho, якщо щось піде не так.

"Я хочу повторити, що в контрактах Morpho немає вразливостей. Вони безпечні та працюють належним чином," сказав Мерлін Егаліт, співзасновник Morpo, у понеділок.

"Для отримання рекомендацій щодо сховищ, які можуть мати експозицію до USR або активів, пов'язаних з Resolv, ми рекомендуємо слідкувати за відповідними повідомленнями кураторів."

Gauntlet, Re7 Labs, kpk та 9summits були кураторами Morpho, які створили налаштовані пули — що називаються сховищами — з експозицією до USR.

У деяких випадках ці куратори мали автоматизовані сервіси ліквідності, які продовжували надавати ліквідність їхнім сховищам USR годинами після експлойту, що ще більше посилило збитки, сказав засновник Chaos Labs, Омер Голдберг.

Загалом приблизно 15 сховищ з ліквідністю понад $10 000 постраждали від експлойту Resolv, сказав співзасновник Morpho Пол Фрамбо.

"Куратори швидко відреагували на складну ситуацію за допомоги команди Morpho там, де це було потрібно," сказав він.

"Тим не менш, ми продовжимо працювати з кураторами для подальшого вдосконалення інструментів, доступних для допомоги їм у майбутніх подіях."

Ліам Келлі є кореспондентом DL News у Берліні, який спеціалізується на DeFi. Маєте інформацію? Зв'яжіться з нами за адресою [email protected].