Resolv Labs приостановила работу протокола после того, как взлом на сумму 23 млн долларов привёл к отрыву стабильной монеты USR от привязки

Что стало причиной взлома Resolv Labs и отрыва USR от привязки?

Инцидент затронул платформу Resolv DeFi, которая предлагает стратегии доходности, привязанные к дельта-нейтральным позициям по биткоину и эфириуму, а ее стейблкоин USR позиционируется как привязанный к доллару актив, обеспеченный ликвидным залогом. До взлома общая заблокированная стоимость протокола превышала 500 миллионов долларов, что подтверждалось аудитами, программой поощрения за обнаружение уязвимостей и интеграцией с кастодиальными сервисами.

Согласно данным цепочки блоков и раскрытиям проекта, злоумышленник внес примерно от 100 000 до 200 000 долларов в USDC в контракт, связанный с эмиссией USR, прежде чем воспользоваться двухэтапным процессом чеканки. Манипулируя параметрами в потоке запросов и завершения, злоумышленник отчеканил около 80 миллионов USR — что значительно превышает первоначальный депозит и создает большой пул необеспеченных токенов.

Аналитики указали на слабые места, связанные с ролью разрешенного сервиса и недостаточными проверками валидации между этапами чеканки. Первые оценки показывают, что проблема может быть связана с внецепочечным компонентом, таким как скомпрометированный подписант или неисправная бэкэнд-валидация, а не с традиционной ошибкой смарт-контракта.

После чеканки токенов злоумышленник быстро конвертировал USR в обернутые варианты и продал их на нескольких децентрализованных биржах, включая Curve и Uniswap. Цены обрушились во время распродажи, и в некоторых пулах USR торговался по цене всего в несколько центов. Злоумышленник извлек примерно от 23 до 25 миллионов долларов, в основном конвертированных в эфир, продолжая перемещать средства между кошельками.

Эта уязвимость вызвала быструю депегацию: курс USR упал с 1 доллара до 0,025 доллара в некоторых пулах ликвидности, а затем частично восстановился в течение дня. Несколько интегрированных протоколов быстро приняли меры для ограничения рисков, приостановив работу рынков или отключив залог, привязанный к активам Resolv.

Resolv Labs заявила, что немедленно приостановила все функции протокола и изучает варианты восстановления. Команда подчеркнула, что базовый пул залогового обеспечения остался нетронутым и что никакие обеспечивающие активы не были выведены, объяснив убыток результатом эмиссии без обеспечения, а не сбоем залогового обеспечения. Пользователям было рекомендовано избегать взаимодействия с затронутыми активами, пока продолжается проверка.

Часто задаваемые вопросы 🔎

• Что привело к отрыву стабильной монеты USR от привязки?
  Уязвимость позволила выпустить десятки миллионов необеспеченных токенов USR, наводнив рынок.
• Каков размер убытков в результате уязвимости Resolv Labs?
  Злоумышленник похитил средства на сумму от 23 до 25 миллионов долларов.
• Были ли средства пользователей или залог выведены из протокола?
  Нет, пул залога остался нетронутым; убытки возникли в результате выпуска токенов без обеспечения.
• Протокол Resolv по-прежнему работает?
  Нет, все функции приостановлены, пока команда проводит расследование и работает над восстановлением.