Resolv Labs a confirmat o exploatare de 25 milioane $ care a generat 80 de milioane de tokenuri USR neacoperite și a rupt paritatea cu dolarul

Un stablecoin care se tranzacționa la 1 dolar a scăzut la fracțiuni dintr-un cent în unele pool-uri. Mecanismul din spatele acestuia merită înțeles cu precizie.

Cum a Funcționat Atacul

Resolv Labs a confirmat o exploatare de securitate care viza funcția de emitere a contractului stablecoin USR. Atacul a fost executat în două etape. În prima, un atacator a folosit aproximativ 100.000 de dolari în USDC pentru a emite 50 de milioane de token-uri USR prin funcțiile requestSwap și completeSwap ale protocolului, un raport de aproximativ 500 la 1 între capitalul utilizat și token-urile generate. Firma de securitate PeckShield a identificat o a doua tranzacție la scurt timp după, în care atacatorul a emis încă 30 de milioane de USR, aducând emiterea totală neautorizată la 80 de milioane de token-uri.

Analiștii de la D2 Finance au identificat trei potențiali vectori pentru încălcare: un oracol compromis care furniza date incorecte de preț în funcția de emitere, un semnatar off-chain cu acreditări scurse care autoriza emiterea fără suport legitim, sau o absență critică a validării cantității în timpul procesului de emitere însuși. Oricare dintre cele trei ar fi permis atacatorului să ocolească controalele care ar fi trebuit să prevină emiterea neacoperită la acea scară. Investigația este în curs și nicio cauză singulară nu a fost confirmată public.

Decouplarea și Costul Acesteia

Consecințele injectării a 80 de milioane de token-uri neacoperite în infrastructura de lichiditate a USR au fost imediate. USR a scăzut de la paritatea sa de 1,00 dolari, tranzacționându-se la doar 0,257 dolari pe unele platforme. În pool-ul USR/USDC de pe Curve Finance, unde lichiditatea concentrată amplifică impactul prețului, token-ul a scăzut la aproximativ 0,025 dolari din cauza slippage-ului sever, pe măsură ce atacatorul schimba token-urile emise în stablecoin-uri legitime.

Atacatorul a extras cu succes cel puțin 25 de milioane de dolari prin schimbarea USR emis cu USDC și USDT înainte de a converti acestea în aproximativ 11.422 ETH. Cei 100.000 de dolari în USDC utilizați pentru a iniția exploatarea au generat un profit de cel puțin 25 de milioane de dolari, un randament de 250x pe capitalul utilizat pentru a executa atacul.

Resolv Labs a declarat că activele colaterale originale ale protocolului au rămas suficiente și nu au fost furate direct în exploatare. Daunele nu au provenit din luarea a ceea ce era acolo, ci din crearea a ceea ce nu ar fi trebuit să fie acolo și conversia acesteia în valoare reală înainte ca protocolul să poată răspunde.

Răspunsul Protocolului și Consecințele pe Piață

Resolv Labs a întrerupt toate funcțiile protocolului imediat după confirmarea breșei, oprind emiterea ulterioară și limitând daunele suplimentare. Echipa a declarat că investighează exploatarea și încearcă să recupereze fondurile extrase, deși recuperarea fondurilor convertite în ETH și mutate prin infrastructura DeFi este istoric dificilă.

Consecințele s-au extins dincolo de propriul protocol al Resolv. Euler Labs a dezactivat funcționalitatea colaterală USR și RLP pe întreaga sa platformă. Venus Protocol a suspendat complet tranzacționarea USR pentru a proteja utilizatorii de expunerea la un activ decouplat. Aceste răspunsuri reflectă natura interconectată a infrastructurii colaterale DeFi, unde o exploatare a unui stablecoin într-un protocol creează un risc imediat pentru fiecare protocol care a acceptat acel stablecoin ca garanție sau pereche de tranzacționare.

Exploatarea urmează un model care a apărut în mod repetat în incidentele de securitate DeFi. Vulnerabilitatea nu a fost în garanția subiacentă a activului, ci în logica contractului care reglementează modul în care sunt emise token-urile noi. Când funcțiile de emitere nu au validare suficientă, cerința de acoperire care oferă valoare unui stablecoin poate fi ocolită complet fără a atinge rezervele subiacente. Costul de intrare de 100.000 de dolari și ieșirea de 25 de milioane de dolari confirmă cât de asimetrică poate fi acea vulnerabilitate când rămâne nedetectată.

Articolul Resolv Labs a Confirmat o Exploatare de 25 de Milioane de Dolari Care a Emis 80 de Milioane de Token-uri USR Neacoperite și a Rupt Paritatea cu Dolarul a apărut prima dată pe ETHNews.