Stablecoin Resolv Labs spada o 80%, gdy exploiter wybija miliony niezabezpieczonych tokenów USR

W niedzielę zdecentralizowany protokół finansowy Resolv Labs ujawnił, że proces mintowania jego natywnego stablecoina został wykorzystany.

Atakujący stworzył 80 milionów tokenów USR bez pokrycia po uzyskaniu dostępu do kluczy prywatnych projektu, poinformował Resolv Labs w poniedziałek rano.

Po wyminowaniu tych tokenów atakujący zamienił tokeny USR na wersje stakowane, a następnie zamienił je na stablecoin Circle powiązany z dolarem, zanim wykorzystał te zasoby do zakupu Ethera.

W sumie zdobyli około 23 miliony dolarów w Etherze, według danych onchain, i pozostawili posiadaczy tokenów USR na lodzie.

CoinGecko pokazuje, że stablecoin USR jest obecnie notowany poniżej 0,4 USD, spadając nawet do 0,02 USD.

Funkcje mintowania i wykupu projektu zostały wyłączone, aby złagodzić dalsze szkody, poinformował zespół Resolv.

Stablecoin Resolv Labs utrzymuje swój peg, wykorzystując strategie handlowe, które równoważą pozycje długie i krótkie w zmiennych aktywach.

Gdy użytkownicy deponują Ether, aby mintować USR, protokół jednocześnie otwiera równe pozycje krótkie — zakłady, że cena Ethera spadnie — tak aby niezależnie od zmienności aktywów, token USR był zrównoważony.

Najnowszy exploit miał jednak niewiele wspólnego z tym mechanizmem.

Exploit klucza prywatnego

Exploiter w Resolv Labs był w stanie wymintować 80 milionów tokenów USR, używając zabezpieczenia o wartości od 100 000 do 200 000 USD po skompromitowaniu kluczy prywatnych projektu, według Chainalysis.

Byli w stanie zastąpić logikę protokołu po uzyskaniu dostępu do usługi zarządzania kluczami Resolv w Amazon Web Services.

Klucze prywatne są kluczowym komponentem inteligentnych kontraktów, ponieważ pozwalają posiadaczom wykonywać żądane działania, takie jak mintowanie milionów konkretnego tokena.

Kontrakt mintowania nie miał żadnych kontroli oracle ani maksymalnych limitów mintowania, aby zapobiec tej akcji, według współzałożyciela eksploratorów onchain opartych na AI Herd, Andrew Whonga.

Interoperacyjność kontratakuje

Resolv Labs i posiadacze USR nie byli jedynymi ofiarami exploitu.

Różne protokoły, które zintegrowały stablecoin, również zostały mocno dotknięte, szczególnie te korzystające z modelu kuratora do generowania zysków dla swoich użytkowników.

Morpho Labs, protokół pożyczkowy używający modelu kuratora, dostarczył wyraźnego przykładu, jak exploity takie jak Resolv mogą rozprzestrzeniać się w DeFi.

Protokół Morpho pozwala menedżerom zewnętrznym na dostosowanie swoich puli pożyczkowych i ustanowienie własnych parametrów bezpieczeństwa oraz list tokenów. Ci menedżerowie nazywani są kuratorami.

Ryzyko spada na kuratorów tych puli, a nie na Morpho, jeśli coś pójdzie nie tak.

"Chcę powtórzyć, że nie ma żadnej podatności w kontraktach Morpho. Są bezpieczne i działają zgodnie z przeznaczeniem," powiedział w poniedziałek Merlin Egalite, współzałożyciel Morpo.

"W sprawie wytycznych dotyczących skarbców, które mogą mieć ekspozycję na USR lub aktywa związane z Resolv, zalecamy śledzenie odpowiednich komunikatów kuratorów."

Gauntlet, Re7 Labs, kpk i 9summits byli kuratorami Morpho, którzy stworzyli dostosowane pule — zwane skarbcami — z ekspozycją na USR.

W niektórych przypadkach ci kuratorzy mieli zautomatyzowane usługi płynności, które kontynuowały dostarczanie płynności do swoich skarbców USR godziny po exploicie, co dodatkowo pogorszyło szkody, powiedział założyciel Chaos Labs, Omer Goldberg.

W sumie około 15 skarbców z płynnością przekraczającą 10 000 USD zostało dotkniętych exploitem Resolv, powiedział współzałożyciel Morpho Paul Frambot.

"Kuratorzy szybko zareagowali na trudną sytuację, a zespół Morpho udzielał pomocy tam, gdzie było to potrzebne," powiedział.

"To powiedziawszy, będziemy nadal pracować z kuratorami, aby dalej ulepszać dostępne narzędzia, które pomogą im w przyszłych wydarzeniach."

Liam Kelly jest korespondentem DeFi DL News z siedzibą w Berlinie. Masz informację? Skontaktuj się pod adresem liam@dlnews.com.