Resolv Labs подтвердила эксплойт на $25 млн, который выпустил 80 миллионов необеспеченных токенов USR и нарушил привязку к доллару

Стейблкоин, который торговался по $1, упал до долей цента в некоторых пулах. Механизм, стоящий за этим, стоит понять точно.

Как работала атака

Resolv Labs подтвердила эксплойт безопасности, нацеленный на функцию майнинга контракта стейблкоина USR. Атака была выполнена в два этапа. На первом злоумышленник использовал приблизительно 100 000 $ в USDC для майнинга 50 миллионов токенов USR через функции протокола requestSwap и completeSwap, что составляет соотношение примерно 500 к 1 между развернутым капиталом и сгенерированными токенами. Компания по безопасности PeckShield выявила вторую транзакцию вскоре после этого, в которой злоумышленник произвел майнинг дополнительных 30 миллионов USR, доведя общий несанкционированный выпуск до 80 миллионов токенов.

Аналитики из D2 Finance выявили три потенциальных вектора взлома: скомпрометированный оракул, передающий неверные ценовые данные в функцию майнинга, утечка внецепочечного подписанта, чьи учетные данные авторизовали майнинг без законного обеспечения, или критическое отсутствие проверки суммы во время самого процесса майнинга. Любой из этих трех векторов позволил бы злоумышленнику обойти контроль, который должен был предотвратить необеспеченный выпуск в таком масштабе. Расследование продолжается, и ни одна причина не была публично подтверждена.

Депег и его цена

Последствия внедрения 80 миллионов необеспеченных токенов в инфраструктуру ликвидности USR были немедленными. USR упал с привязки 1,00 $, торгуясь всего за 0,257 $ на некоторых платформах. В пуле USR/USDC на Curve Finance, где концентрированная ликвидность усиливает ценовое воздействие, токен упал примерно до 0,025 $ из-за серьезного проскальзывания, когда злоумышленник обменял майненные токены на законные стейблкоины.

Злоумышленник успешно извлек как минимум 25 миллионов $ путем обмена майненных USR на USDC и USDT перед конвертацией в приблизительно 11 422 ETH. 100 000 $ в USDC, использованные для инициирования эксплойта, принесли доход как минимум 25 миллионов $, что составляет 250-кратную прибыль от капитала, развернутого для выполнения атаки.

Resolv Labs заявила, что первоначальные залоговые активы протокола остались достаточными и не были напрямую украдены в ходе эксплойта. Ущерб возник не от изъятия того, что там было, а от создания того, чего там не должно было быть, и конвертации этого в реальную стоимость до того, как протокол смог отреагировать.

Реакция протокола и последствия для рынка

Resolv Labs приостановила все функции протокола сразу после подтверждения взлома, остановив дальнейший майнинг и ограничив дополнительный ущерб. Команда заявила, что расследует эксплойт и пытается вернуть извлеченные средства, хотя возврат средств, конвертированных в ETH и перемещенных через инфраструктуру DeFi, исторически сложен.

Последствия вышли за рамки собственного протокола Resolv. Euler Labs отключила функциональность обеспечения USR и RLP на всей своей платформе. Venus Protocol полностью приостановил торговлю USR для защиты пользователей от воздействия актива с нарушенной привязкой. Эти реакции отражают взаимосвязанный характер инфраструктуры обеспечения DeFi, где эксплойт стейблкоина в одном протоколе создает немедленный риск для каждого протокола, который принимал этот стейблкоин как обеспечение или торговую пару.

Эксплойт следует шаблону, который неоднократно появлялся в инцидентах безопасности DeFi. Уязвимость была не в базовом обеспечении актива, а в логике контракта, управляющей тем, как выпускаются новые токены. Когда функции майнинга не имеют достаточной проверки, требование обеспечения, которое придает стейблкоину его стоимость, может быть полностью обойдено без прикосновения к базовым резервам. Начальная стоимость входа 100 000 $ и выход 25 миллионов $ подтверждают, насколько асимметричной может быть эта уязвимость, когда она остается необнаруженной.

Пост Resolv Labs подтвердила эксплойт на 25 миллионов $, который произвел майнинг 80 миллионов необеспеченных токенов USR и нарушил долларовую привязку впервые появился на ETHNews.