Resolv Labs Stablecoin stürzt um 80% ab, nachdem Angreifer Millionen ungedeckter USR-Token prägt

Am Sonntag enthüllte das dezentralisierte Finanzprotokoll Resolv Labs, dass der Prägeprozess für seinen nativen Stablecoin ausgenutzt worden war.

Der Angreifer schuf 80 Millionen ungedeckte USR-Token, nachdem er Zugang zu den privaten Schlüsseln des Projekts erlangt hatte, sagte Resolv Labs am Montagmorgen.

Mit diesen geprägten Token tauschte der Angreifer dann die USR-Token gegen Staking-Versionen und tauschte sie gegen den dollargebundenen Stablecoin von Circle, bevor er diese Bestände zum Kauf von Ether verwendete.

Insgesamt machten sie mit etwa 23 Millionen US-Dollar in Ether davon, laut On-Chain-Daten, und ließen die USR-Tokeninhaber im Stich.

CoinGecko zeigt, dass der USR-Stablecoin jetzt unter 0,4 US-Dollar gehandelt wird, nachdem er auf bis zu 0,02 US-Dollar gefallen war.

Die Präge- und Tilgungsfunktionen des Projekts wurden abgeschaltet, um weiteren Schaden zu mindern, sagte das Resolv-Team.

Der Stablecoin von Resolv Labs hält seine Bindung durch Handelsstrategien aufrecht, die Long- und Short-Positionen über volatile Vermögenswerte hinweg ausbalancieren.

Wenn Nutzer Ether einzahlen, um USR zu prägen, eröffnet das Protokoll gleichzeitig gleiche Short-Positionen – Wetten darauf, dass der Preis von Ether fallen wird – sodass der USR-Token unabhängig von der Volatilität des Vermögenswerts ausgeglichen ist.

Die jüngste Ausnutzung hatte jedoch wenig mit diesem Mechanismus zu tun.

Ausnutzung privater Schlüssel

Der Ausnutzer bei Resolv Labs konnte 80 Millionen USR-Token mit Sicherheiten im Wert zwischen 100.000 und 200.000 US-Dollar prägen, nachdem er die privaten Schlüssel des Projekts kompromittiert hatte, so Chainalysis.

Sie konnten die Logik des Protokolls außer Kraft setzen, nachdem sie auf den Schlüsselverwaltungsdienst von Resolv bei Amazon Web Services zugegriffen hatten.

Private Schlüssel sind eine kritische Komponente von Smart-Contracts, da sie es Inhabern ermöglichen, gewünschte Aktionen auszuführen, wie etwa das Prägen von Millionen eines bestimmten Tokens.

Der Prägevertrag hatte keine Oracle- oder Max-Prägeprüfungen eingerichtet, um diese Aktion zu verhindern, so der Mitgründer des KI-gestützten On-Chain-Explorers Herd, Andrew Whong.

Interoperabilität schlägt zurück

Resolv Labs und USR-Inhaber waren nicht die einzigen Opfer der Ausnutzung.

Verschiedene Protokolle, die den Stablecoin integriert hatten, wurden ebenfalls hart getroffen, insbesondere solche, die ein Kuratorenmodell verwenden, um Rendite für ihre Nutzer zu generieren.

Morpho Labs, ein Kreditprotokoll, das ein Kuratorenmodell verwendet, lieferte ein eindringliches Beispiel dafür, wie Ausnutzungen wie die von Resolv sich über DeFi ausbreiten können.

Das Morpho-Protokoll ermöglicht es Drittanbieter-Managern, ihre Kreditpools anzupassen und eigene Sicherheitsparameter und Token-Listings einzurichten. Diese Manager werden Kuratoren genannt.

Das Risiko liegt bei den Kuratoren dieser Pools und nicht bei Morpho, sollte etwas schief gehen.

„Ich möchte betonen, dass es keine Schwachstelle in Morpho-Verträgen gibt. Sie sind sicher und funktionieren wie vorgesehen", sagte Merlin Egalite, ein Mitgründer bei Morpho, am Montag.

„Für Hinweise zu Tresoren, die möglicherweise USR- oder Resolv-bezogene Vermögenswerte aufweisen, empfehlen wir, den entsprechenden Kuratoren-Mitteilungen zu folgen."

Gauntlet, Re7 Labs, kpk und 9summits waren Morpho-Kuratoren, die angepasste Pools – sogenannte Tresore – mit Exposition gegenüber USR erstellt hatten.

In einigen Fällen hatten diese Kuratoren automatisierte Liquiditätsdienste, die noch Stunden nach der Ausnutzung weiterhin Liquidität für ihre USR-Tresore bereitstellten, wodurch die Schäden weiter verschlimmert wurden, sagte der Gründer von Chaos Labs, Omer Goldberg.

Insgesamt wurden etwa 15 Tresore mit mehr als 10.000 US-Dollar an Liquidität von der Resolv-Ausnutzung betroffen, sagte Morpho-Mitgründer Paul Frambot.

„Kuratoren haben schnell auf eine herausfordernde Situation reagiert, wobei das Morpho-Team bei Bedarf unterstützt hat", sagte er.

„Davon abgesehen werden wir weiterhin mit Kuratoren zusammenarbeiten, um die verfügbaren Tools weiter zu verbessern, damit sie bei zukünftigen Ereignissen unterstützt werden."

Liam Kelly ist der in Berlin ansässige DeFi-Korrespondent von DL News. Haben Sie einen Tipp? Nehmen Sie Kontakt auf unter [email protected].