Niedzielny hack stablecoina USR firmy Resolv o wartości 23 milionów dolarów doprowadził do zarażenia w całym sektorze DeFi.
Oportunistyczni traderzy wykorzystali odpięty USR jako zabezpieczenie, wyczerpując płynność w ponad tuzinie skarbców zysków.
Co gorsza, tak zwani "kuratorzy ryzyka" automatycznie alokowali więcej środków na zepsute rynki, gdy stopy procentowe pożyczek gwałtownie wzrosły.
W listopadzie podobne zarażenie uderzyło w ekosystem "kuratorowanych" skarbców DeFi po tym, jak Stream Finance ogłosiło stratę w wysokości 93 milionów dolarów, prowadząc do 75% xUSD.
Pomimo dyskusji o ocenach ryzyka i kuratorach wystawiających kapitał pierwszej straty, wygląda na to, że niewiele się nauczono.
Czytaj więcej: Cztery miesiące później MEV Capital pada ofiarą implozji łańcucha DeFi o wartości 4 miliardów dolarów
Hack
Oświadczenie Resolv Labs potwierdziło, że kompromitacja klucza prywatnego doprowadziła do nieautoryzowanego (i nieograniczonego) "wybicia około 80 milionów dolarów nieobjętych zabezpieczeniem USR."
Podaż tokenów USR sprzed hacku pozostaje w pełni zabezpieczona, a straty ponoszą dostawcy płynności (LP) na zdecentralizowanych giełdach, ponieważ haker sprzedał wybite tokeny. Na przykład, same LP na Curve Finance straciły szacunkowo 17 milionów dolarów.
Wyprzedaż hakera spowodowała odpięcie USR, który obecnie jest handlowany po 0,23 dolara, według danych CoinMarketCap. Firma zajmująca się bezpieczeństwem blockchain Beosin szacuje zyski atakującego na 11 409 ether (ETH), co stanowi ponad 23 miliony dolarów w momencie pisania.
Zespół Resolv spotkał się z krytyką za powolny czas reakcji podczas zbierania niezbędnych podpisów multisig w celu wstrzymania protokołu.
Skontaktował się z eksploiterem on-chain, prosząc o zwrot 90% przekonwertowanego ETH, a także pozostałego USR.
Czytaj więcej: Haker Venus Protocol stracił 4,7 miliona dolarów po dziewięciu miesiącach planowania
Skutki
Hack mógł być prosty, ale efekty kaskadowe były wszystkim innym.
Odpięty USR został wykorzystany przez oportunistycznych traderów, którzy użyli go do drenowania skarbców zysków z zakodowanymi na stałe wyrocznią cen. Kupując tani USR do użycia jako zabezpieczenie, użytkownicy mogli pożyczać inne aktywa, takie jak USDC, jakby USR nadal był wart 1 dolara.
Czytaj więcej: Błąd wyroczni zwiększa zamieszanie w gigancie DeFi Aave
Jakby to nie wystarczyło, zautomatyzowane strategie "kuratorów ryzyka" alokowały następnie dodatkowe środki na dotknięte rynki, których wysokie wykorzystanie podniosło zyski z podaży.
Omer Goldberg z Chaos Labs wyjaśnił, jak funkcja Public Allocator Morpho pozwoliła kuratorom "w tym Gauntlet, re7, kpk i 9summits" na automatyczną alokację aktywów o wartości milionów dolarów na rynki "w oparciu o wstępnie skonfigurowane i zatwierdzone limity i linie kredytowe."
W niektórych przypadkach, mówi Goldberg, alokacja do zepsutych skarbców trwała godzinami.
Chaos przyniósł jednak również innowacje, ponieważ automatyczne alokacje były nawet specjalnie ukierunkowane na uwolnienie dodatkowej płynności. Przedsiębiorcza konkurencja Obsidian również skorzystała z incydentu, oferując usługę migracji użytkownikom, których depozyty utknęły w niepłynnych skarbcach Morpho
Ocena szkód
Paul Frambot z Morpho policzył 15 dotkniętych skarbców z ponad 10 000 dolarów ekspozycji na USR.
Według badacza bezpieczeństwa Weilin Li, kuratorzy dotkniętych skarbców, na Morpho i gdzie indziej, obejmują Gauntlet, Re7, MEV Capital, Extrafi, Seamless, August, Clearstar, kpk, Leyrock i 9Summits.
Dla tych, którzy śledzili listopadowy upadek, wiele z tych nazw może być znajomych.
Yearn, którego współpracownicy byli jednymi z najostrzejszych krytyków skarbców zysków, które doprowadziły do listopadowej katastrofy, poniósł minimalną stratę w wysokości 377 dolarów.
Ironicznie (lub wymownie), własny menedżer ryzyka Resolv, Steakhouse, nie był narażony na USR, pomimo stwierdzenia, że "operacyjnie Resolv wykazuje instytucjonalną rygorystyczność" zaledwie pięć dni przed hackiem.
Zabezpieczenie stablecoina DOLA Inverse Finance było pośrednio narażone na odpięcie USR, a zespół zobowiązał się do załatania dziury w wysokości 340 000 dolarów.
Wiele rynków pożyczkowych wstrzymało rynki USR, w tym Venus Protocol, który sam został zhakowany w zeszły weekend, i Lista.
Fluid został najgorzej dotknięty i mógł zgromadzić do 17,5 miliona dolarów złego długu. Jednak zespół zapewnił użytkowników, że "zabezpieczył krótkoterminowe pożyczki, aby pokryć 100% złego długu."
Rozważa również sprzedaż tokenów FLUID "jeśli potrzebne będą dodatkowe środki."
Po ryzykownych kilku miesiącach dla czołowego protokołu pożyczkowego Aave, z dramatem zarządzania i błędem wyroczni, Stani Kulechov z Aave Labs chętnie podkreślił brak ekspozycji Aave.
Łańcuch DeFi
Sieć platform dotkniętych kompromitacją pojedynczego klucza prywatnego jest wyraźnym przypomnieniem, jak jedna z kluczowych innowacji DeFi, interoperacyjność, jest mieczem obosiecznym.
Automatyczna alokacja może optymalizować zwroty w normalnych warunkach, ale kiedy rzeczy się psują, co często ma miejsce w DeFi, następuje niezamierzone zachowanie.
Bez własnych funduszy w grze, obecna konfiguracja zachęca do "złośliwej teorii gier zmuszającej [kuratorów] do szukania większego ryzyka."
Ten ostatni epizod odnowił apele o to, aby kuratorzy mieli udział w grze. Jednym z podejść jest transzowanie depozytów, gdzie kuratorzy mają stracić jako pierwsi, jeśli ich ryzyko zostało nieprawidłowo "kuratorowane."
Masz wskazówkę? Wyślij nam e-mail bezpiecznie przez Protos Leaks. Aby uzyskać więcej świadomych wiadomości, śledź nas na X, Bluesky i Google News, lub subskrybuj nasz kanał YouTube.
Źródło: https://protos.com/resolv-hack-shows-defi-learned-nothing-from-last-contagion/
