Неділя злам Resolv на $23 мільйони стейблкоїна USR призвів до зараження у секторі DeFi (Децентралізовані фінанси).
Опортуністичні трейдери використовували USR із втраченою прив'язкою для запозичення, виснажуючи ліквідність понад дюжини дохідних сховищ.
Що ще гірше, так звані «куратори ризиків» потім автоматично виділили більше коштів на зламані ринки, оскільки ставки кредитування різко зросли.
У листопаді подібне зараження вразило «кураторську» екосистему сховищ DeFi (Децентралізовані фінанси) після того, як Stream Finance оголосили про збиток у $93 мільйони, що призвело до 75% xUSD.
Незважаючи на обговорення рейтингів ризиків та кураторів, які виділяють капітал першого збитку після цього, схоже, що так багато не було вивчено.
Читайте більше: Через чотири місяці MEV Capital стає жертвою імплозії ланцюга DeFi на $4 млрд
Злам
Заява Resolv Labs підтвердила, що компрометація приватного ключа призвела до несанкціонованого (і необмеженого) «випуску приблизно $80 мільйонів незабезпеченого USR».
Пропозиція токенів USR до злому залишається повністю забезпеченою, збитки походять від постачальників ліквідності на децентралізованих біржах, оскільки хакер продав карбовані токени. Наприклад, лише постачальники ліквідності на Curve Finance за оцінками втратили $17 мільйонів.
Розпродаж хакера спричинив втрату прив'язки USR, який зараз торгується за $0,23, згідно з даними CoinMarketCap. Блокчейн фірма безпеки Beosin оцінює прибуток зловмисника у 11 409 ether (ETH), що коштує понад $23 мільйони на момент написання.
Команда Resolv зіткнулася з критикою за повільний час відповіді під час збору необхідних мультипідписів для призупинення протоколу.
Вона зв'язалася з експлуататором в мережі, вимагаючи повернення 90% конвертованого ETH, а також решти USR.
Читайте більше: Хакер Venus Protocol втратив $4,7 млн після дев'яти місяців планування
Наслідки
Злам міг бути простим, але побічні ефекти були зовсім не такими.
На USR із втраченою прив'язкою накинулися опортуністичні трейдери, які використовували його для виснаження дохідних сховищ із жорстко закодованими ціновими оракулами. Купуючи дешевий USR для використання як забезпечення, користувачі могли запозичувати інші активи, такі як USDC, ніби USR все ще коштував $1.
Читайте більше: Помилка оракула додає хаосу гіганту DeFi (Децентралізовані фінанси) Aave
Ніби все було недостатньо погано, автоматизовані стратегії «кураторів ризиків» потім виділили додаткові кошти на постраждалі ринки, чиє високе використання підвищило дохідність пропозиції.
Омер Голдберг із Chaos Labs пояснив, як функція Public Allocator від Morpho дозволила кураторам «включаючи Gauntlet, re7, kpk та 9summits» автоматично розподіляти мільйони доларів активів на ринки «на основі попередньо налаштованих та затверджених лімітів та кредитних ліній».
У деяких випадках, каже Голдберг, розподіл у зламані сховища тривав годинами.
Хаос також приніс інновації, однак, оскільки автоматичні розподіли навіть були спеціально спрямовані на вивільнення додаткової ліквідності. Підприємливі конкуренти Obsidian також скористалися інцидентом, пропонуючи міграційний сервіс користувачам, чиї депозити застрягли в неліквідних сховищах Morpho
Оцінка шкоди
Пол Фрамбот із Morpho підрахував 15 постраждалих сховищ із понад $10 000 експозиції до USR.
Згідно з дослідником безпеки Вейлін Лі, куратори постраждалих сховищ, на Morpho та інших, включають Gauntlet, Re7, MEV Capital, Extrafi, Seamless, August, Clearstar, kpk, Leyrock та 9Summits.
Для тих, хто стежив за листопадовим крахом, багато з цих імен можуть бути знайомими.
Yearn, чиї учасники були серед найсуворіших критиків дохідних сховищ, які призвели до листопадового краху, зазнали мінімального збитку в $377.
Іронічно (або показово), власний менеджер ризиків Resolv, Steakhouse, не був експонований до USR, незважаючи на заяву, що «операційно, Resolv демонструє інституційну суворість» лише за п'ять днів до злому.
Забезпечення стейблкоїна DOLA від Inverse Finance було опосередковано експоновано до втрати прив'язки USR, причому команда пообіцяла залатати діру в $340 000.
Кілька кредитних ринків призупинили ринки USR, включаючи Venus Protocol, який сам був зламаний минулих вихідних, та Lista.
Fluid постраждав найбільше, і міг накопичити до $17,5 мільйонів безнадійного боргу. Однак команда запевнила користувачів, що вона «забезпечила короткострокові позики для покриття 100% безнадійного боргу».
Вона також розглядає продаж токенів FLUID «якщо знадобляться будь-які додаткові кошти».
Після ризикованих кількох місяців для провідного протоколу кредитування Aave, з драмою управління та помилкою оракула, Стані Кулечов із Aave Labs прагнув підкреслити відсутність експозиції Aave.
Ланцюг DeFi (Децентралізовані фінанси)
Мережа платформ, постраждалих від компрометації єдиного приватного ключа, є різким нагадуванням про те, як одна з ключових інновацій DeFi (Децентралізовані фінанси), інтероперабельність блокчейнів, є обопільним мечем.
Автоматизований розподіл може оптимізувати прибутки за нормальних умов, але коли щось ламається, що часто трапляється в DeFi (Децентралізовані фінанси), слідує ненавмисна поведінка.
Без власних коштів у грі, поточна налаштування стимулює «зловмисну теорію ігор, що штовхає [кураторів] шукати більше ризику».
Цей останній епізод відновив заклики до того, щоб куратори мали власний інтерес у грі. Один підхід - це транші депозитів, причому куратори мають зазнати збитків першими, якщо їхній ризик неправильно «курований».
Є порада? Надішліть нам електронний лист безпечно через Protos Leaks. Для більш інформованих новин стежте за нами на X, Bluesky, та Google News, або підпишіться на наш YouTube канал.
Джерело: https://protos.com/resolv-hack-shows-defi-learned-nothing-from-last-contagion/
