การแฮ็กมูลค่า 23 ล้านดอลลาร์ของ stablecoin USR ของ Resolv ในวันอาทิตย์ได้นำไปสู่การแพร่กระจายผลกระทบทั่วทั้งภาค DeFi
เทรดเดอร์ฉวยโอกาสใช้ USR ที่ depeg แล้วเพื่อกู้ยืม ทำให้สภาพคล่องใน yield vaults กว่าโหลถูกระบายออก
ที่แย่ไปกว่านั้น "risk curators" ที่เรียกกันได้จัดสรรเงินทุนเพิ่มเติมโดยอัตโนมัติไปยังตลาดที่เสียหายเมื่ออัตราการให้กู้พุ่งสูงขึ้น
ในเดือนพฤศจิกายน การแพร่กระจายที่คล้ายกันเกิดขึ้นกับระบบนิเวศ vault ที่ "curated" ของ DeFi หลังจาก Stream Finance ประกาศความสูญเสีย 93 ล้านดอลลาร์ นำไปสู่ 75% ของ xUSD
แม้จะมีการหารือเกี่ยวกับการให้คะแนนความเสี่ยงและ curators วางเงินทุน first-loss หลังจากเหตุการณ์ แต่ดูเหมือนว่าไม่ได้เรียนรู้อะไรมากนัก
อ่านเพิ่มเติม: Four months on, MEV Capital falls victim to $4B DeFi daisy chain implosion
การแฮ็ก
แถลงการณ์ของ Resolv Labs ยืนยันว่าการถูกละเมิด private key นำไปสู่การ "mint USR ที่ไม่มีหลักประกันประมาณ 80 ล้านดอลลาร์" โดยไม่ได้รับอนุญาต (และไม่มีข้อจำกัด)
จำนวน token USR ก่อนการแฮ็กยังคงได้รับการสนับสนุนอย่างเต็มที่ โดยความสูญเสียมาจากผู้ให้สภาพคล่อง (LPs) บนตลาดแลกเปลี่ยนแบบกระจายอำนาจเมื่อแฮ็กเกอร์ขาย token ที่ mint ขึ้น ตัวอย่างเช่น LPs บน Curve Finance เพียงอย่างเดียวคาดว่าสูญเสีย 17 ล้านดอลลาร์
การขายของแฮ็กเกอร์ทำให้ USR depeg ซึ่งปัจจุบันซื้อขายที่ $0.23 ตามข้อมูลของ CoinMarketCap บริษัทรักษาความปลอดภัย blockchain Beosin ประเมินกำไรของผู้โจมตีที่ 11,409 ether (ETH) มีมูลค่ากว่า 23 ล้านดอลลาร์ ณ เวลาที่เขียน
ทีม Resolv ถูกวิจารณ์สำหรับเวลาตอบสนองที่ช้าขณะรวบรวมลายเซ็น multisig ที่จำเป็นเพื่อหยุดโปรโตคอล
ได้ติดต่อผู้โจมตีบนเชน ขอให้คืน 90% ของ ETH ที่แปลงแล้ว รวมถึง USR ที่เหลืออยู่
อ่านเพิ่มเติม: Venus Protocol hacker lost $4.7M after nine months of planning
ผลกระทบที่ตามมา
การแฮ็กอาจเป็นเรื่องง่าย แต่ผลกระทบที่ตามมาไม่ใช่เลย
USR ที่ depeg ถูกเทรดเดอร์ฉวยโอกาสจับตัวไปใช้เพื่อระบาย yield vaults ที่มี price oracles แบบ hardcoded การซื้อ USR ราคาถูกเพื่อใช้เป็นหลักประกัน ผู้ใช้สามารถกู้ยืมสินทรัพย์อื่นๆ เช่น USDC ราวกับว่า USR ยังคงมีมูลค่า $1
อ่านเพิ่มเติม: Oracle error adds to turmoil at DeFi giant Aave
ราวกับว่าสิ่งต่างๆ ยังไม่แย่พอ กลยุทธ์อัตโนมัติของ "risk curators" จัดสรรเงินทุนเพิ่มเติมไปยังตลาดที่ได้รับผลกระทบ ซึ่งการใช้งานสูงทำให้ supply yields พุ่งสูงขึ้น
Omer Goldberg ของ Chaos Labs อธิบายว่าฟีเจอร์ Public Allocator ของ Morpho อนุญาตให้ curators "รวมถึง Gauntlet, re7, kpk และ 9summits" จัดสรรสินทรัพย์มูลค่าหลายล้านดอลลาร์เข้าสู่ตลาดโดยอัตโนมัติ "โดยอิงตาม caps และ credit lines ที่กำหนดและอนุมัติไว้ล่วงหน้า"
ในบางกรณี Goldberg กล่าวว่า การจัดสรรเข้าสู่ vault ที่เสียหายยังคงดำเนินต่อไปเป็นเวลาหลายชั่วโมง
อย่างไรก็ตาม ความโกลาหลยังนำมาซึ่งนวัตกรรม เนื่องจากการจัดสรรอัตโนมัติถูกกำหนดเป้าหมายโดยเฉพาะเพื่อปลดปล่อยสภาพคล่องเพิ่มเติม คู่แข่งที่มีความกระตือรือร้นอย่าง Obsidian ยังใช้ประโยชน์จากเหตุการณ์นี้ โดยเสนอบริการย้ายข้อมูลให้กับผู้ใช้ที่เงินฝากติดอยู่ใน Morpho vaults ที่ไม่มีสภาพคล่อง
การประเมินความเสียหาย
Paul Frambot ของ Morpho นับรวม 15 vault ที่ได้รับผลกระทบซึ่งมีการเปิดรับมากกว่า $10,000 ต่อ USR
ตามที่นักวิจัยด้านความปลอดภัย Weilin Li กล่าว curators ของ vault ที่ได้รับผลกระทบบน Morpho และที่อื่นๆ ได้แก่ Gauntlet, Re7, MEV Capital, Extrafi, Seamless, August, Clearstar, kpk, Leyrock และ 9Summits
สำหรับผู้ที่ติดตามการล่มสลายในเดือนพฤศจิกายน ชื่อเหล่านี้หลายชื่ออาจจะคุ้นหูกัน
Yearn ซึ่งผู้มีส่วนร่วมเป็นหนึ่งในผู้วิจารณ์ที่รุนแรงที่สุดของ yield vaults ที่นำไปสู่การพังทลายในเดือนพฤศจิกายน ประสบความสูญเสียเพียงเล็กน้อยที่ $377
น่าประชดหรือบอกเล่า ผู้จัดการความเสี่ยงของ Resolv เอง คือ Steakhouse ไม่ได้เปิดรับกับ USR แม้จะระบุว่า "ในทางปฏิบัติการ Resolv แสดงให้เห็นถึงความเข้มงวดระดับสถาบัน" เพียงห้าวันก่อนการแฮ็ก
การสนับสนุนของ stablecoin DOLA ของ Inverse Finance ถูกเปิดรับทางอ้อมกับการ depeg ของ USR โดยทีมสัญญาว่าจะแก้ไขช่องว่าง $340,000
ตลาดให้กู้หลายแห่งหยุดตลาด USR รวมถึง Venus Protocol ซึ่งเองก็ถูกแฮ็กเมื่อสุดสัปดาห์ที่แล้ว และ Lista
Fluid ได้รับผลกระทบมากที่สุด และอาจสะสมหนี้เสียสูงถึง 17.5 ล้านดอลลาร์ อย่างไรก็ตาม ทีมให้ความมั่นใจแก่ผู้ใช้ว่าได้ "จัดหาสินเชื่อระยะสั้นเพื่อครอบคลุม 100% ของหนี้เสีย"
นอกจากนี้ยังพิจารณาขาย token FLUID "หากจำเป็นต้องใช้เงินเพิ่มเติม"
หลังจากช่วงไม่กี่เดือนที่เสี่ยงภัยสำหรับโปรโตคอลการให้กู้อันดับต้นๆ Aave ด้วยละครธรรมาภิบาลและความผิดพลาดของ oracle Stani Kulechov ของ Aave Labs กระตือรือร้นที่จะเน้นย้ำการไม่เปิดรับของ Aave
DeFi daisy chain
เครือข่ายของแพลตฟอร์มที่ได้รับผลกระทบจากการถูกละเมิด private key เดียวเป็นการเตือนใจอย่างชัดเจนว่านวัตกรรมหลักอย่างหนึ่งของ DeFi คือการทำงานร่วมกันได้ เป็นดาบสองคม
การจัดสรรอัตโนมัติอาจเพิ่มผลตอบแทนให้เหมาะสมภายใต้สภาวะปกติ แต่เมื่อสิ่งต่างๆ พัง ซึ่งมักเกิดขึ้นใน DeFi พฤติกรรมที่ไม่ได้ตั้งใจจะตามมา
โดยไม่มีเงินทุนของตัวเองในการเล่น การตั้งค่าปัจจุบันจูงใจ "ทฤษฎีเกมที่เป็นอันตรายผลักดัน [curators] ให้แสวงหาความเสี่ยงมากขึ้น"
เหตุการณ์ล่าสุดนี้ได้ฟื้นคืนคำเรียกร้องให้ curators มีส่วนร่วมในเกม วิธีหนึ่งคือการแบ่งชั้นของเงินฝาก โดย curators ตั้งไว้ให้สูญเสียก่อนหากความเสี่ยงของพวกเขาถูก "curated" อย่างไม่เหมาะสม
Got a tip? Send us an email securely via Protos Leaks. For more informed news, follow us on X, Bluesky, and Google News, or subscribe to our YouTube channel.
ที่มา: https://protos.com/resolv-hack-shows-defi-learned-nothing-from-last-contagion/
