Resolv Labs sætter protokollen på pause, efter at et sikkerhedshul på 23 millioner dollar har udløst en afkobling af USR-stablecoinen

Hvad forårsagede Resolv Labs-hacket og USR-afkoblingen?

Hændelsen ramte Resolv DeFi-platformen, som tilbyder afkaststrategier knyttet til delta-neutrale positioner på bitcoin og ethereum, hvor USR-stablecoinen markedsføres som et dollar-bundet aktiv, der er bakket op af likvid sikkerhed. Før bruddet oversteg protokollens samlede værdi 500 millioner dollars, understøttet af revisioner, et bug bounty-program og integrering af opbevaring.

Ifølge onchain-data og projektoplysninger indsatte angriberen ca. 100.000 til 200.000 dollar i USDC i en kontrakt knyttet til USR-udstedelse, før han udnyttede en to-trins minting-proces. Ved at manipulere parametre inden for anmodnings- og afslutningsflowet mintede angriberen ca. 80 millioner USR – hvilket langt oversteg den oprindelige indbetaling og skabte en stor pulje af tokens uden sikkerhed.

Analytikere pegede på svagheder knyttet til en tilladelsesbaseret servicerolle og utilstrækkelige valideringskontroller mellem minting-trinene. Tidlige vurderinger tyder på, at problemet muligvis involverer en off-chain-komponent, såsom en kompromitteret underskriver eller mangelfuld backend-validering, snarere end en traditionel smart contract-fejl.

Efter at have udstedt tokens konverterede angriberen hurtigt USR til wrapped-varianter og solgte dem på flere decentraliserede børser, herunder Curve og Uniswap. Priserne styrtdykkede under udsalget, hvor USR i nogle puljer blev handlet til så lidt som et par cent. Angriberen udvindede anslået 23 til 25 millioner dollars, som i vid udstrækning blev konverteret til ethereum, mens vedkommende fortsatte med at flytte midler mellem tegnebøger.

Udnyttelsen udløste en hurtig afkobling, hvor USR faldt fra 1 dollar til så lavt som 0,025 dollar i visse likviditetspuljer, før den senere på dagen delvist rettede sig. Flere integrerede protokoller handlede hurtigt for at begrænse eksponeringen ved at sætte markederne på pause eller deaktivere sikkerhedsstillelse knyttet til Resolv-aktiver.

Resolv Labs oplyste, at de straks havde sat alle protokolfunktioner på pause og undersøger mulighederne for genopretning. Teamet understregede, at den underliggende sikkerhedspool forbliver intakt, og at ingen sikkerhedsaktiver blev drænet, hvilket fremstillede tabet som et resultat af udstedelse uden dækning snarere end sikkerhedssvigt. Brugere blev rådet til at undgå at interagere med de berørte aktiver, mens gennemgangen fortsætter.

FAQ 🔎

• Hvad forårsagede, at USR-stablecoinen mistede sin pegging?
  Et sikkerhedshul gjorde det muligt at udstede titusindvis af USR-tokens uden sikkerhedsstillelse, hvilket oversvømmede markedet.
• Hvor stort var tabet i forbindelse med udnyttelsen af Resolv Labs?
  Angriberen udvindede en værdi på anslået 23 til 25 millioner dollars.
• Blev brugerens midler eller sikkerhedsstillelse drænet fra protokollen?
  Nej, sikkerhedsstillelsespuljen forblev intakt; tabene skyldtes udstedelse af tokens uden dækning.
• Er Resolv-protokollen stadig i drift?
  Nej, alle funktioner er sat på pause, mens teamet undersøger sagen og arbejder på at genoprette systemet.