Stablecoin-ul Resolv Labs scade cu 80% în timp ce exploatatorul creează milioane de token-uri USR fără acoperire

Duminică, protocolul de finanțe descentralizate Resolv Labs a dezvăluit că procesul de emitere pentru stablecoin-ul său nativ a fost exploatat.

Atacatorul a creat 80 de milioane de tokenuri USR nesprijinite după ce a obținut acces la cheile private ale proiectului, a declarat Resolv Labs luni dimineața.

După emiterea acelor tokenuri, atacatorul a schimbat tokenurile USR pentru versiuni stake și le-a schimbat pentru stablecoin-ul indexat la dolar al Circle înainte de a folosi acele dețineri pentru a cumpăra Ether.

În total, au furat aproximativ 23 de milioane de dolari în Ether, conform datelor onchain, și au lăsat deținătorii de tokenuri USR în încurcătură.

CoinGecko arată că stablecoin-ul USR se tranzacționează acum sub 0,4 dolari, ajungând până la 0,02 dolari.

Funcțiile de emitere și răscumpărare ale proiectului au fost dezactivate pentru a atenua daunele ulterioare, a declarat echipa Resolv.

Stablecoin-ul Resolv Labs își menține paritatea prin valorificarea strategiilor de tranzacționare care echilibrează pozițiile long și short pe activele volatile.

Când utilizatorii depun Ether pentru a emite USR, protocolul deschide simultan poziții short egale — pariuri că prețul Ether va scădea — astfel încât, indiferent de volatilitatea activului, tokenul USR este echilibrat.

Cea mai recentă exploatare, totuși, a avut puțin de-a face cu acest mecanism.

Exploatarea cheii private

Exploatatorul de la Resolv Labs a reușit să emită 80 de milioane de tokenuri USR folosind între 100.000 și 200.000 de dolari în garanții după compromiterea cheilor private ale proiectului, conform Chainalysis.

Aceștia au reușit să suprascrie logica protocolului după accesarea serviciului de gestionare a cheilor Resolv pe Amazon Web Services.

Cheile private sunt o componentă critică a contractelor inteligente, deoarece permit deținătorilor să efectueze acțiunile dorite, cum ar fi emiterea de milioane dintr-un token specific.

Contractul de emitere nu avea verificări oracle sau limite maxime de emitere pentru a preveni această acțiune, conform cofondatorului exploratorului onchain activat cu AI Herd, Andrew Whong.

Interoperabilitatea ripostează

Resolv Labs și deținătorii de USR nu au fost singurele victime ale exploatării.

Diverse protocoale care integraseră stablecoin-ul au fost, de asemenea, grav afectate, în special cele care folosesc un model de curator pentru a genera randament pentru utilizatorii lor.

Morpho Labs, un protocol de împrumut care folosește un model de curator, a oferit un exemplu clar al modului în care exploatările precum cea a Resolv pot avea efecte în lanț în DeFi.

Protocolul Morpho permite managerilor terți să personalizeze pool-urile de împrumut și să stabilească propriile lor parametri de securitate și listări de tokenuri. Acești manageri sunt numiți curatori.

Riscul cade asupra curatorilor acestor pool-uri, mai degrabă decât asupra Morpho, dacă ceva nu merge bine.

„Doresc să reiterez că nu există nicio vulnerabilitate în contractele Morpho. Acestea sunt sigure și funcționează conform intenției", a declarat Merlin Egalite, cofondator la Morpho, luni.

„Pentru îndrumări privind vault-urile care pot avea expunere la USR sau active legate de Resolv, recomandăm urmărirea comunicărilor relevante ale curatorilor."

Gauntlet, Re7 Labs, kpk și 9summits erau curatori Morpho care creaseră pool-uri personalizate — numite vault-uri — cu expunere la USR.

În unele cazuri, acești curatori aveau servicii automate de lichiditate care au continuat să furnizeze lichiditate vault-urilor lor USR cu ore după exploatare, agravând și mai mult daunele, a declarat fondatorul Chaos Labs, Omer Goldberg.

În total, aproximativ 15 vault-uri cu mai mult de 10.000 de dolari în lichiditate au fost afectate de exploatarea Resolv, a declarat cofondatorul Morpho, Paul Frambot.

„Curatorii au răspuns rapid la o situație dificilă, echipa Morpho asistând acolo unde a fost necesar", a spus el.

„Cu toate acestea, vom continua să lucrăm cu curatorii pentru a îmbunătăți în continuare instrumentele disponibile pentru a-i ajuta în evenimentele viitoare."

Liam Kelly este corespondentul DeFi al DL News din Berlin. Aveți o informație? Contactați la liam@dlnews.com.