Vụ hack 23 triệu USD vào Chủ nhật nhắm vào stablecoin USR của Resolv đã dẫn đến sự lây lan trên toàn bộ lĩnh vực DeFi (Decentralized Finance).
Các nhà giao dịch cơ hội đã sử dụng USR bị mất neo để vay, làm cạn kiệt thanh khoản trong hơn chục kho lợi suất.
Tệ hơn nữa, những cái gọi là "người quản lý rủi ro" sau đó đã tự động phân bổ thêm tiền vào các thị trường bị hỏng khi lãi suất cho vay tăng vọt.
Vào tháng 11, một sự lây lan tương tự đã tấn công hệ sinh thái kho được "quản lý" của DeFi (Decentralized Finance) sau khi Stream Finance công bố khoản lỗ 93 triệu USD, dẫn đến mức giảm 75% của xUSD.
Mặc dù đã có các cuộc thảo luận về xếp hạng rủi ro và những người quản lý đưa ra vốn chịu lỗ đầu tiên sau đó, có vẻ như không có nhiều bài học được rút ra, sau tất cả.
Đọc thêm: Bốn tháng sau, MEV Capital trở thành nạn nhân của chuỗi dây chuyền 4 tỷ USD DeFi (Decentralized Finance) sụp đổ
Vụ hack
Tuyên bố của Resolv Labs xác nhận rằng việc khóa riêng bị xâm phạm đã dẫn đến việc "đúc khoảng 80 triệu USD USR không có tài sản thế chấp" trái phép (và không hạn chế).
Nguồn cung token USR trước vụ hack vẫn được hỗ trợ đầy đủ, với các khoản lỗ đến từ các nhà cung cấp thanh khoản (LPs) trên các sàn giao dịch phi tập trung khi hacker bán các token đã đúc. Ví dụ, các LP trên Curve Finance một mình được ước tính đã mất 17 triệu USD.
Việc bán tháo của hacker đã gây ra sự mất neo của USR, hiện đang giao dịch ở mức 0,23 USD, theo dữ liệu từ CoinMarketCap. Công ty bảo mật Blockchain Beosin ước tính lợi nhuận của kẻ tấn công là 11,409 ether (ETH), trị giá hơn 23 triệu USD tại thời điểm viết bài.
Nhóm Resolv đã phải đối mặt với sự chỉ trích vì thời gian phản hồi chậm trong khi thu thập các chữ ký multisig cần thiết để tạm dừng giao thức.
Họ đã liên hệ với kẻ khai thác trên chuỗi, yêu cầu trả lại 90% ETH đã chuyển đổi, cũng như USR còn lại.
Đọc thêm: Hacker Venus Protocol đã mất 4,7 triệu USD sau chín tháng lên kế hoạch
Hậu quả
Vụ hack có thể đơn giản, nhưng các tác động kéo theo thì không hề đơn giản.
USR bị mất neo đã bị các nhà giao dịch cơ hội tấn công, họ sử dụng nó để làm cạn các kho lợi suất với oracle giá được mã hóa cứng. Bằng cách mua USR giá rẻ để sử dụng làm tài sản thế chấp, người dùng có thể vay các tài sản khác, chẳng hạn như USDC, như thể USR vẫn trị giá 1 USD.
Đọc thêm: Lỗi oracle làm tăng thêm hỗn loạn tại gã khổng lồ DeFi (Decentralized Finance) Aave
Như thể mọi thứ chưa đủ tệ, các chiến lược tự động của "người quản lý rủi ro" sau đó đã phân bổ thêm tiền vào các thị trường bị ảnh hưởng, nơi mà việc sử dụng cao đã làm tăng vọt lợi suất cung ứng.
Omer Goldberg của Chaos Labs đã giải thích cách tính năng Public Allocator của Morpho cho phép những người quản lý "bao gồm Gauntlet, re7, kpk và 9summits" tự động phân bổ hàng triệu USD tài sản vào các thị trường "dựa trên các giới hạn và hạn mức tín dụng được cấu hình trước và phê duyệt."
Trong một số trường hợp, Goldberg nói, việc phân bổ vào các kho bị hỏng đã tiếp tục trong nhiều giờ.
Tuy nhiên, sự hỗn loạn cũng mang lại đổi mới, vì các phân bổ tự động thậm chí còn được nhắm mục tiêu cụ thể để giải phóng thanh khoản bổ sung. Các đối thủ cạnh tranh đầy tham vọng Obsidian cũng đã tận dụng sự cố, cung cấp dịch vụ di chuyển cho người dùng có tiền gửi bị kẹt trong các kho Morpho thiếu thanh khoản
Đánh giá thiệt hại
Paul Frambot của Morpho đã thống kê 15 kho bị ảnh hưởng với hơn 10,000 USD tiếp xúc với USR.
Theo nhà nghiên cứu bảo mật Weilin Li, những người quản lý của các kho bị ảnh hưởng, trên Morpho và các nơi khác, bao gồm Gauntlet, Re7, MEV Capital, Extrafi, Seamless, August, Clearstar, kpk, Leyrock và 9Summits.
Đối với những người đã theo dõi sự sụp đổ vào tháng 11, nhiều cái tên này có thể quen thuộc.
Yearn, có những người đóng góp nằm trong số những người chỉ trích gay gắt nhất về các kho lợi suất dẫn đến sự sụp đổ vào tháng 11, đã chịu khoản lỗ tối thiểu là 377 USD.
Một cách mỉa mai (hoặc rõ ràng), người quản lý rủi ro của chính Resolv, Steakhouse, không bị tiếp xúc với USR, mặc dù tuyên bố rằng "về mặt hoạt động, Resolv thể hiện sự nghiêm ngặt thể chế" chỉ năm ngày trước vụ hack.
Sự hỗ trợ của stablecoin DOLA của Inverse Finance đã gián tiếp bị ảnh hưởng bởi việc mất neo của USR, với nhóm cam kết vá lỗ hổng 340,000 USD.
Một số thị trường cho vay đã tạm dừng các thị trường USR, bao gồm Venus Protocol, cũng đã bị hack vào cuối tuần trước, và Lista.
Fluid là nạn nhân nặng nề nhất, và có thể đã tích lũy lên đến 17.5 triệu USD nợ xấu. Tuy nhiên, nhóm đã trả lời yên tâm người dùng rằng họ đã "đảm bảo các khoản vay ngắn hạn để bao phủ 100% nợ xấu."
Nó cũng xem xét việc bán token FLUID "nếu cần thêm bất kỳ khoản tiền nào."
Sau một vài tháng khó khăn đối với giao thức cho vay hàng đầu Aave, với kịch tính quản trị và sự cố oracle, Stani Kulechov của Aave Labs đã háo hức nhấn mạnh sự thiếu tiếp xúc của Aave.
Chuỗi dây chuyền DeFi (Decentralized Finance)
Mạng lưới các nền tảng bị ảnh hưởng bởi việc xâm phạm một khóa riêng duy nhất là một lời nhắc nhở rõ ràng về cách một trong những đổi mới quan trọng của DeFi (Decentralized Finance), khả năng tương tác của blockchain, là một con dao hai lưỡi.
Phân bổ tự động có thể tối ưu hóa lợi nhuận trong điều kiện bình thường, nhưng khi mọi thứ hỏng, điều thường xảy ra trong DeFi (Decentralized Finance), hành vi không mong muốn sẽ theo sau.
Không có tiền của riêng họ trong trò chơi, thiết lập hiện tại khuyến khích "lý thuyết trò chơi ác ý thúc đẩy [những người quản lý] tìm kiếm nhiều rủi ro hơn."
Tập phim mới nhất này đã làm tái diễn các lời kêu gọi cho những người quản lý phải có ưu đãi. Một cách tiếp cận là phân chia tiền gửi, với những người quản lý sẽ thua lỗ đầu tiên nếu rủi ro của họ được "quản lý" không đúng cách.
Có thông tin? Gửi cho chúng tôi Email an toàn qua Protos Leaks. Để biết thêm tin tức có thông tin, theo dõi chúng tôi trên X, Bluesky, và Google News, hoặc đăng ký kênh YouTube của chúng tôi.
Nguồn: https://protos.com/resolv-hack-shows-defi-learned-nothing-from-last-contagion/
