Resolv Labs призупинила роботу протоколу після того, як зловмисний напад на суму 23 млн доларів спричинив відхилення курсу стейблкоіну USR від паритету

Що спричинило злом Resolv Labs та відхилення USR від прив'язки?

Інцидент стався на платформі Resolv DeFi, яка пропонує стратегії прибутковості, прив'язані до дельта-нейтральних позицій на біткойні та ефіріумі, а її стейблкоін USR позиціонується як актив, прив'язаний до долара та забезпечений ліквідним заставою. До порушення загальна заблокована вартість протоколу перевищувала 500 мільйонів доларів, що підтверджувалося аудитами, програмою винагороди за виявлення багів та інтеграцією кастодіальних послуг.

Згідно з даними ончейну та розкриттям інформації про проєкт, зловмисник вніс приблизно від 100 000 до 200 000 доларів у USDC у контракт, пов'язаний з випуском USR, перш ніж скористатися двоступеневим процесом випуску. Маніпулюючи параметрами в потоці запиту та завершення, зловмисник випустив близько 80 мільйонів USR — що значно перевищило початковий депозит і створило великий пул токенів без забезпечення.

Аналітики вказали на слабкі місця, пов'язані з роллю дозволеного сервісу та недостатніми перевірками валідації між етапами випуску. Попередні оцінки свідчать, що проблема може пов'язана з позаланцюговим компонентом, таким як скомпрометований підписувач або недосконала валідація бекенду, а не з традиційною помилкою смарт-контракту.

Після випуску токенів зловмисник швидко конвертував USR у «обгорнуті» варіанти та продав їх на декількох децентралізованих біржах, зокрема Curve та Uniswap. Під час розпродажу ціни впали, і в деяких пулах USR торгувався за ціною усього кілька центів. Зловмисник вивів приблизно від 23 до 25 мільйонів доларів, значну частину яких конвертував в ефіріум, продовжуючи переміщувати кошти між гаманцями.

Ця уразливість спричинила швидке відхилення від прив'язки, і USR впав з 1 долара до 0,025 долара в деяких пулах ліквідності, перш ніж частково відновитися пізніше того ж дня. Кілька інтегрованих протоколів швидко вжили заходів для обмеження ризиків, призупинивши роботу ринків або вимкнувши заставу, пов'язану з активами Resolv.

Resolv Labs заявила, що негайно призупинила всі функції протоколу і вивчає варіанти відновлення. Команда підкреслила, що базовий пул застави залишається недоторканим і що жодні активи-забезпечення не були виведені, подаючи збиток як результат емісії без забезпечення, а не як провал застави. Користувачам було рекомендовано уникати взаємодії з ураженими активами, поки триває перевірка.

FAQ 🔎

• Що спричинило відхилення курсу стейблкоіну USR?
  Експлойт дозволив випустити десятки мільйонів незабезпечених токенів USR, що заполонили ринок.
• Скільки було втрачено внаслідок експлойту Resolv Labs?
  Зловмисник викрав кошти на суму від 23 до 25 мільйонів доларів.
• Чи були виведені кошти користувачів або застава з протоколу?
  Ні, пул застави залишився недоторканим; збитки виникли внаслідок випуску токенів без забезпечення.
• Чи продовжує працювати протокол Resolv?
  Ні, всі функції призупинено, поки команда проводить розслідування та працює над відновленням.