Resolv Labs potwierdził exploit o wartości 25 mln USD, który wyemitował 80 milionów nieubezpieczonych tokenów USR i złamał parytet dolara

Stablecoin, który był notowany po $1, spadł do ułamków centa w niektórych pulach. Mechanizm stojący za tym wymaga dokładnego zrozumienia.

Jak działał atak

Resolv Labs potwierdziło exploit bezpieczeństwa wymierzony w funkcję mintowania kontraktu stablecoina USR. Atak został przeprowadzony w dwóch etapach. W pierwszym atakujący użył około $100,000 wartości USDC, aby wyemitować 50 milionów tokenów USR za pomocą funkcji requestSwap i completeSwap protokołu, co stanowiło stosunek około 500 do 1 między zainwestowanym kapitałem a wygenerowanymi tokenami. Firma bezpieczeństwa PeckShield zidentyfikowała drugą transakcję krótko później, w której atakujący wyemitował dodatkowe 30 milionów USR, doprowadzając całkowitą nieautoryzowaną emisję do 80 milionów tokenów.

Analitycy z D2 Finance zidentyfikowali trzy potencjalne wektory naruszenia: zhakowaną wyrocznię dostarczającą nieprawidłowe dane cenowe do funkcji mintowania, wyciek danych off-chain signera, którego poświadczenia autoryzowały mintowanie bez uzasadnionego pokrycia, lub krytyczny brak walidacji kwoty podczas samego procesu mintowania. Każdy z tych trzech czynników mógłby pozwolić atakującemu ominąć zabezpieczenia, które powinny były zapobiec emisji bez pokrycia na taką skalę. Śledztwo trwa i żadna pojedyncza przyczyna nie została jeszcze publicznie potwierdzona.

Depeg i jego koszty

Konsekwencje wprowadzenia 80 milionów tokenów bez pokrycia do infrastruktury płynności USR były natychmiastowe. USR spadł z poziomu $1,00, notując nawet $0,257 na niektórych platformach. W puli USR/USDC na Curve Finance, gdzie skoncentrowana płynność wzmacnia wpływ cenowy, token spadł do około $0,025 z powodu poważnego poślizgu, gdy atakujący wymieniał wyemitowane tokeny na legalne stablecoiny.

Atakujący z powodzeniem wydobył co najmniej $25 milionów, wymieniając wyemitowane USR na USDC i USDT, a następnie konwertując to na około 11,422 ETH. $100,000 w USDC użyte do zainicjowania exploitu wygenerowało zwrot w wysokości co najmniej $25 milionów, co stanowi 250-krotny zwrot z kapitału wykorzystanego do przeprowadzenia ataku.

Resolv Labs oświadczyło, że oryginalne aktywa zabezpieczające protokołu pozostały wystarczające i nie zostały bezpośrednio skradzione podczas exploitu. Szkoda nie wynikała z zabrania tego, co tam było, ale z stworzenia tego, czego nie powinno tam być i przekształcenia tego w realną wartość, zanim protokół mógł zareagować.

Reakcja protokołu i skutki rynkowe

Resolv Labs wstrzymało wszystkie funkcje protokołu natychmiast po potwierdzeniu naruszenia, zatrzymując dalsze mintowanie i ograniczając dodatkowe szkody. Zespół oświadczył, że prowadzi śledztwo w sprawie exploitu i próbuje odzyskać wydobyte środki, chociaż odzyskanie środków przekonwertowanych na ETH i przemieszczonych przez infrastrukturę DeFi jest historycznie trudne.

Skutki wykroczyły poza własny protokół Resolv. Euler Labs wyłączyło funkcjonalność zabezpieczeń USR i RLP na całej swojej platformie. Venus Protocol całkowicie zawiesiło handel USR, aby chronić użytkowników przed ekspozycją na zdepegowany asset. Te reakcje odzwierciedlają wzajemnie połączony charakter infrastruktury zabezpieczeń DeFi, gdzie exploit stablecoina w jednym protokole tworzy natychmiastowe ryzyko dla każdego protokołu, który zaakceptował ten stablecoin jako zabezpieczenie lub parę handlową.

Exploit podąża za wzorcem, który pojawiał się wielokrotnie w incydentach bezpieczeństwa DeFi. Podatność nie tkwiła w bazowym zabezpieczeniu aktywów, ale w logice kontraktu regulującej sposób emisji nowych tokenów. Gdy funkcje mintowania nie mają wystarczającej walidacji, wymóg pokrycia, który nadaje stablecoinowi wartość, może zostać całkowicie ominięty bez dotykania bazowych rezerw. $100,000 kosztu wejścia i $25 milionów wyjścia potwierdzają, jak asymetryczna może być ta podatność, gdy pozostaje niewykryta.

Post Resolv Labs potwierdziło exploit na $25M, który wyemitował 80 milionów tokenów USR bez pokrycia i złamał peg dolara ukazał się najpierw na ETHNews.