Resolv Labs stablecoin daalt 80% terwijl exploitant miljoenen niet-gedekte USR tokens mint

Op zondag onthulde het gedecentraliseerde financiële protocol Resolv Labs dat het mint-proces voor zijn eigen stablecoin was misbruikt.

De aanvaller creëerde 80 miljoen gedekte USR-tokens nadat hij toegang had gekregen tot de private keys van het project, aldus Resolv Labs maandagochtend.

Met die geminte tokens wisselde de aanvaller vervolgens de USR-tokens om voor gestakete versies en wisselde ze om voor Circle's aan de dollar gekoppelde stablecoin voordat hij die bezittingen gebruikte om Ether te kopen.

Al met al gingen ze er met ongeveer $23 miljoen aan Ether vandoor, volgens onchain-gegevens, en lieten USR-tokenhouders in de steek.

CoinGecko laat zien dat de USR-stablecoin nu onder de $0,4 handelt, nadat deze tot $0,02 was gedaald.

De mint- en inwisselfuncties van het project zijn uitgeschakeld om verdere schade te beperken, aldus het Resolv-team.

De stablecoin van Resolv Labs handhaaft zijn koppeling door gebruik te maken van handelsstrategieën die long- en shortposities over volatiele activa in evenwicht brengen.

Wanneer gebruikers Ether storten om USR te minten, opent het protocol gelijktijdig gelijke shortposities — weddenschappen dat de prijs van Ether zal dalen — zodat ongeacht de volatiliteit van het actief, de USR-token in evenwicht is.

De laatste exploit had echter weinig te maken met dit mechanisme.

Private key exploit

De exploitant bij Resolv Labs was in staat om 80 miljoen USR-tokens te minten met tussen de $100.000 en $200.000 aan onderpand nadat hij de private keys van het project had gecompromitteerd, volgens Chainalysis.

Ze waren in staat om de logica van het protocol te overschrijven nadat ze toegang hadden gekregen tot Resolv's key management service op Amazon Web Services.

Private keys zijn een cruciaal onderdeel van smart contracts, omdat ze houders in staat stellen acties uit te voeren die ze willen, zoals het minten van miljoenen van een specifieke token.

Het mint-contract had geen oracle- of maximale mint-controles om deze actie te voorkomen, volgens de medeoprichter van AI-enabled onchain explorer Herd, Andrew Whong.

Interoperabiliteit slaat terug

Resolv Labs en USR-houders waren niet de enige slachtoffers van de exploit.

Verschillende protocollen die de stablecoin hadden geïntegreerd werden ook zwaar getroffen, met name die welke een curator-model gebruiken om rendement voor hun gebruikers te genereren.

Morpho Labs, een uitleenprotocol dat een curator-model gebruikt, leverde een pregnant voorbeeld van hoe exploits zoals die van Resolv zich kunnen verspreiden over DeFi.

Het Morpho-protocol stelt externe managers in staat om hun uitleenpools aan te passen en hun eigen beveiligingsparameters en tokenlijsten vast te stellen. Deze managers worden curators genoemd.

Het risico ligt bij de curators van deze pools in plaats van bij Morpho, mocht er iets misgaan.

"Ik wil benadrukken dat er geen kwetsbaarheid is in Morpho-contracten. Ze zijn veilig en werken zoals bedoeld," zei Merlin Egalite, een medeoprichter van Morpho, op maandag.

"Voor begeleiding bij vaults die mogelijk blootstelling hebben aan USR of Resolv-gerelateerde activa, raden we aan de relevante curator-communicatie te volgen."

Gauntlet, Re7 Labs, kpk en 9summits waren Morpho-curators die aangepaste pools hadden gecreëerd — genaamd vaults — met blootstelling aan USR.

In sommige gevallen hadden deze curators geautomatiseerde liquiditeitsdiensten die uren na de exploit liquiditeit bleven leveren aan hun USR-vaults, waardoor de schade verder werd verergerd, zei de oprichter van Chaos Labs, Omer Goldberg.

In totaal werden ongeveer 15 vaults met meer dan $10.000 aan liquiditeit getroffen door de Resolv-exploit, aldus Morpho-medeoprichter Paul Frambot.

"Curators hebben snel gereageerd op een uitdagende situatie met het Morpho-team dat waar nodig assisteert," zei hij.

"Dat gezegd hebbende, zullen we blijven samenwerken met curators om de beschikbare tools verder te verbeteren om hen te helpen bij toekomstige gebeurtenissen."

Liam Kelly is DL News' in Berlijn gevestigde DeFi-correspondent. Heeft u een tip? Neem contact op via liam@dlnews.com.