Стейблкоин Resolv Labs обвалился на 80%, так как злоумышленник выпустил миллионы необеспеченных токенов USR

В воскресенье протокол децентрализованных финансов Resolv Labs сообщил, что процесс создания его собственного стейблкоина был взломан.

Атакующий создал 80 миллионов необеспеченных токенов USR после получения доступа к приватным ключам проекта, заявила Resolv Labs в понедельник утром.

После создания этих токенов атакующий обменял токены USR на стейкинговые версии и обменял их на привязанный к доллару стейблкоин Circle, прежде чем использовать эти активы для покупки Ether.

В общей сложности, согласно данным блокчейна, они похитили примерно 23 миллиона $ в Ether и оставили держателей токенов USR в затруднительном положении.

CoinGecko показывает, что стейблкоин USR сейчас торгуется ниже 0,4 $, упав до 0,02 $.

Функции создания и погашения проекта были отключены для предотвращения дальнейшего ущерба, заявила команда Resolv.

Стейблкоин Resolv Labs поддерживает свою привязку, используя торговые стратегии, которые балансируют длинные и короткие позиции по волатильным активам.

Когда пользователи вносят Ether для создания USR, протокол одновременно открывает равные короткие позиции — ставки на падение цены Ether — так что независимо от волатильности актива токен USR остается сбалансированным.

Последний взлом, однако, имел мало общего с этим механизмом.

Взлом приватного ключа

Взломщик Resolv Labs смог создать 80 миллионов токенов USR, используя от 100 000 $ до 200 000 $ в качестве обеспечения после компрометации приватных ключей проекта, согласно Chainalysis.

Они смогли обойти логику протокола после доступа к сервису управления ключами Resolv на Amazon Web Services.

Приватные ключи являются критическим компонентом смарт-контрактов, поскольку они позволяют держателям выполнять желаемые действия, такие как создание миллионов определенного токена.

В контракте создания не было оракула или проверок максимального создания для предотвращения этого действия, согласно сооснователю блокчейн-обозревателя с поддержкой ИИ Herd, Эндрю Вонгу.

Взаимодействие наносит ответный удар

Resolv Labs и держатели USR не были единственными жертвами взлома.

Различные протоколы, которые интегрировали стейблкоин, также сильно пострадали, а именно те, которые используют модель куратора для генерации дохода для своих пользователей.

Morpho Labs, протокол кредитования, использующий модель куратора, предоставил яркий пример того, как взломы, подобные Resolv, могут распространяться по DeFi.

Протокол Morpho позволяет сторонним менеджерам настраивать свои пулы кредитования и устанавливать собственные параметры безопасности и листинги токенов. Эти менеджеры называются кураторами.

Риск ложится на кураторов этих пулов, а не на Morpho, если что-то пойдет не так.

"Я хочу повторить, что в контрактах Morpho нет уязвимостей. Они безопасны и работают как задумано", — сказал в понедельник Мерлин Эгалит, сооснователь Morpo.

"Для получения рекомендаций по хранилищам, которые могут иметь отношение к USR или активам, связанным с Resolv, мы рекомендуем следить за соответствующими сообщениями кураторов."

Gauntlet, Re7 Labs, kpk и 9summits были кураторами Morpho, которые создали настроенные пулы — называемые хранилищами — с использованием USR.

В некоторых случаях у этих кураторов были автоматизированные сервисы ликвидности, которые продолжали предоставлять ликвидность их хранилищам USR в течение нескольких часов после взлома, что еще больше усугубило ущерб, сказал основатель Chaos Labs, Омер Голдберг.

В общей сложности около 15 хранилищ с ликвидностью более 10 000 $ пострадали от взлома Resolv, сказал сооснователь Morpho Пол Фрамбо.

"Кураторы быстро отреагировали на сложную ситуацию, команда Morpho оказала помощь там, где это было необходимо", — сказал он.

"Тем не менее, мы продолжим работать с кураторами для дальнейшего улучшения доступных инструментов, чтобы помочь им в будущих событиях."

Лиам Келли — берлинский корреспондент DL News по DeFi. Есть информация? Свяжитесь по адресу liam@dlnews.com.