Resolv Labs keskeyttää protokollan, kun 23 miljoonan dollarin hyökkäys aiheutti USR-vakaavaluutan arvon irtoamisen

Mikä aiheutti Resolv Labsin hakkeroinnin ja USR:n irtoamisen kiinnityksestä?

Tapaus kohdistui Resolv DeFi -alustaan, joka tarjoaa tuottostrategioita, jotka on sidottu delta-neutraaleihin positioihin bitcoinissa ja ethereumissa, ja jonka USR-vakaavaluutta markkinoidaan dollarin kurssiin sidottuna omaisuutena, jota tukee likvidit vakuudet. Ennen tietomurtoa protokollan lukittu kokonaisarvo ylitti 500 miljoonaa dollaria, ja sitä tukivat auditoinnit, bug bounty -ohjelma ja säilytysintegraatiot.

Onchain-tietojen ja projektin julkistamien tietojen mukaan hyökkääjä talletti noin 100 000–200 000 dollaria USDC:tä USR:n liikkeeseenlaskuun sidottuun sopimukseen ennen kuin hyödynsi kaksivaiheista lyöntiprosessia. Manipuloimalla pyyntö- ja loppuunsaattamisprosessin parametreja hyökkääjä lyöi noin 80 miljoonaa USR:ää – mikä ylitti reilusti alkuperäisen talletuksen ja loi suuren joukon vakuudettomia tokeneita.

Analyytikot osoittivat heikkouksia, jotka liittyvät luvalliseen palvelurooliin ja riittämättömiin validointitarkistuksiin lyöntivaiheiden välillä. Alustavien arvioiden mukaan ongelma saattaa liittyä off-chain-komponenttiin, kuten vaarantuneeseen allekirjoittajaan tai puutteelliseen taustavalidointiin, eikä perinteiseen älykkään sopimuksen virheeseen.

Tokenien luomisen jälkeen hyökkääjä muutti USR:t nopeasti wrapped-versioiksi ja myi niitä useilla hajautetuilla pörsseillä, kuten Curve ja Uniswap. Hinnat romahtivat myyntiaallon aikana, ja USR:n kauppa-arvo laski joissakin pooleissa jopa muutamaan senttiin. Hyökkääjä sai arviolta 23–25 miljoonaa dollaria, jotka hän muutti pääosin ethereumin, samalla kun hän jatkoi varojen siirtämistä lompakoiden välillä.

Hyökkäys laukaisi nopean irtoamisen, ja USR laski 1 dollarista jopa 0,025 dollariin tietyissä likviditeettipoolissa, ennen kuin se toipui osittain myöhemmin samana päivänä. Useat integroidut protokollat toimivat nopeasti rajoittaakseen altistumista, keskeyttämällä markkinat tai poistamalla Resolv-varoihin sidotut vakuudet käytöstä.

Resolv Labs ilmoitti keskeyttäneensä välittömästi kaikki protokollan toiminnot ja tutkivansa palautusvaihtoehtoja. Tiimi korosti, että taustalla oleva vakuuspooli on edelleen ehjä ja että vakuusvaroja ei ole tyhjennetty, ja kuvasi tappiota seuraukseksi vakuudettomasta liikkeeseenlaskusta eikä vakuuksien pettämisestä. Käyttäjiä kehotettiin välttämään vuorovaikutusta kyseisten varojen kanssa, kunnes tarkastus on saatu päätökseen.

UKK 🔎

• Mikä aiheutti USR-stablecoinin irtoamisen kiinnityksestään?
  Hyökkäys mahdollisti kymmenien miljoonien vakuudettomien USR-tokenien lyömisen, mikä tulvi markkinoille.
• Kuinka suuri tappio Resolv Labsin haavoittuvuuden hyödyntämisestä aiheutui?
  Hyökkääjä sai haltuunsa arviolta 23–25 miljoonan dollarin arvosta varoja.
• Tyhjennettiinkö käyttäjien varat tai vakuudet protokollasta?
  Ei, vakuuspooli pysyi ennallaan; tappiot johtuivat vakuudettomasta tokenien liikkeeseenlaskusta.
• Onko Resolv-protokolla edelleen toiminnassa?
  Ei, kaikki toiminnot on keskeytetty, kunnes tiimi on tutkinut tilanteen ja työskennellyt palautuksen parissa.