Η χάκινγκ των 23 εκατομμυρίων δολαρίων του stablecoin USR της Resolv την Κυριακή οδήγησε σε μετάδοση σε όλο τον τομέα DeFi.
Οι ευκαιριακοί έμποροι χρησιμοποίησαν το αποσυνδεδεμένο USR για να δανειστούν, αποστραγγίζοντας τη ρευστότητα σε πάνω από μία ντουζίνα yield vaults.
Για να γίνουν τα πράγματα χειρότερα, οι λεγόμενοι "risk curators" στη συνέχεια διέθεσαν αυτόματα περισσότερα κεφάλαια σε κατεστραμμένες αγορές καθώς τα επιτόκια δανεισμού εκτοξεύτηκαν.
Τον Νοέμβριο, μια παρόμοια μετάδοση χτύπησε το οικοσύστημα "curated" vault του DeFi αφού η Stream Finance ανακοίνωσε ζημία 93 εκατομμυρίων δολαρίων, οδηγώντας σε 75% του xUSD.
Παρά τις συζητήσεις για αξιολογήσεις κινδύνου και τους curators που διέθεσαν κεφάλαιο πρώτης ζημίας στη συνέχεια, φαίνεται ότι δεν έμαθαν πολλά, τελικά.
Διαβάστε περισσότερα: Τέσσερις μήνες αργότερα, η MEV Capital πέφτει θύμα της έκρηξης αλυσίδας 4 δισ. δολαρίων DeFi
Το χάκινγκ
Η δήλωση της Resolv Labs επιβεβαίωσε ότι ένας συμβιβασμός ιδιωτικού κλειδιού οδήγησε στη μη εξουσιοδοτημένη (και απεριόριστη) "δημιουργία περίπου 80 εκατομμυρίων δολαρίων μη εξασφαλισμένου USR."
Η προ-χάκινγκ προσφορά token του USR παραμένει πλήρως εξασφαλισμένη, με τις ζημίες να προέρχονται από τους παρόχους ρευστότητας (LPs) σε αποκεντρωμένα ανταλλακτήρια καθώς ο χάκερ πούλησε τα δημιουργημένα tokens. Για παράδειγμα, οι LPs στο Curve Finance μόνο εκτιμάται ότι έχασαν 17 εκατομμύρια δολάρια.
Η πώληση του χάκερ προκάλεσε αποσύνδεση του USR, το οποίο επί του παρόντος διαπραγματεύεται στα $0,23, σύμφωνα με δεδομένα του CoinMarketCap. Η εταιρεία ασφάλειας blockchain Beosin υπολογίζει τα κέρδη του επιτιθέμενου στα 11.409 ether (ETH), αξίας άνω των 23 εκατομμυρίων δολαρίων κατά τη στιγμή της συγγραφής.
Η ομάδα Resolv αντιμετώπισε κριτική για αργό χρόνο απόκρισης ενώ συνέλεγε τις απαραίτητες υπογραφές multisig για να παύσει το πρωτόκολλο.
Έχει επικοινωνήσει με τον εκμεταλλευτή on-chain, ζητώντας επιστροφή του 90% του μετατραπέντος ETH, καθώς και του υπολειπόμενου USR.
Διαβάστε περισσότερα: Ο χάκερ του Venus Protocol έχασε 4,7 εκατ. δολάρια μετά από εννέα μήνες σχεδιασμού
Οι επιπτώσεις
Το χάκινγκ μπορεί να ήταν απλό, αλλά οι αλυσιδωτές επιπτώσεις ήταν οτιδήποτε άλλο παρά απλές.
Το αποσυνδεδεμένο USR αρπάχτηκε από ευκαιριακούς εμπόρους που το χρησιμοποίησαν για να αποστραγγίσουν yield vaults με σκληροκωδικοποιημένα price oracles. Αγοράζοντας φθηνό USR για να το χρησιμοποιήσουν ως εγγύηση, οι χρήστες μπορούσαν να δανειστούν άλλα περιουσιακά στοιχεία, όπως USDC, σαν το USR να άξιζε ακόμα $1.
Διαβάστε περισσότερα: Το σφάλμα Oracle προσθέτει αναταραχή στον γίγαντα DeFi Aave
Σαν τα πράγματα να μην ήταν αρκετά άσχημα, οι αυτοματοποιημένες στρατηγικές των "risk curators" στη συνέχεια διέθεσαν περαιτέρω κεφάλαια στις επηρεαζόμενες αγορές, των οποίων η υψηλή χρήση είχε εκτοξεύσει τις αποδόσεις προσφοράς.
Ο Omer Goldberg της Chaos Labs εξήγησε πώς η λειτουργία Public Allocator της Morpho επέτρεψε στους curators "συμπεριλαμβανομένων των Gauntlet, re7, kpk, και 9summits" να αυτοδιαθέτουν εκατομμύρια δολάρια σε περιουσιακά στοιχεία σε αγορές "με βάση προκαθορισμένα και εγκεκριμένα όρια και πιστωτικές γραμμές."
Σε ορισμένες περιπτώσεις, λέει ο Goldberg, η διανομή σε κατεστραμμένα vaults συνεχίστηκε για ώρες.
Το χάος έφερε όμως και καινοτομία, καθώς οι αυτόματες διανομές στοχεύτηκαν ειδικά για να απελευθερώσουν επιπλέον ρευστότητα. Οι επιχειρηματικοί ανταγωνιστές Obsidian επίσης κεφαλαιοποίησαν το περιστατικό, προσφέροντας υπηρεσία μετανάστευσης σε χρήστες των οποίων οι καταθέσεις έχουν κολλήσει σε μη ρευστοποιημένα Morpho vaults
Αξιολόγηση της ζημίας
Ο Paul Frambot της Morpho καταμέτρησε 15 επηρεαζόμενα vaults με άνω των 10.000 δολαρίων έκθεση στο USR.
Σύμφωνα με τον ερευνητή ασφαλείας Weilin Li, οι curators των επηρεαζόμενων vaults, στη Morpho και αλλού, περιλαμβάνουν τους Gauntlet, Re7, MEV Capital, Extrafi, Seamless, August, Clearstar, kpk, Leyrock και 9Summits.
Για εκείνους που ακολούθησαν την κατάρρευση του Νοεμβρίου, πολλά από αυτά τα ονόματα μπορεί να είναι οικεία.
Η Yearn, της οποίας οι συνεισφέροντες ήταν μεταξύ των πιο σκληρών επικριτών των yield vaults που οδήγησαν στην κατάρρευση του Νοεμβρίου, υπέστη ελάχιστη απώλεια $377.
Ειρωνικά (ή αποκαλυπτικά), ο δικός της risk manager της Resolv, η Steakhouse, δεν είχε έκθεση στο USR, παρά το γεγονός ότι δήλωσε ότι "λειτουργικά, η Resolv επιδεικνύει θεσμική αυστηρότητα" μόλις πέντε ημέρες πριν από το χάκινγκ.
Η υποστήριξη του stablecoin DOLA της Inverse Finance εκτέθηκε έμμεσα στην αποσύνδεση του USR, με την ομάδα να δεσμεύεται να καλύψει την τρύπα των 340.000 δολαρίων.
Ένας αριθμός αγορών δανεισμού έθεσε σε παύση τις αγορές USR, συμπεριλαμβανομένου του Venus Protocol, που το ίδιο χακαρίστηκε το περασμένο Σαββατοκύριακο, και της Lista.
Η Fluid επλήγη χειρότερα, και μπορεί να έχει συσσωρεύσει έως και 17,5 εκατομμύρια δολάρια κακού χρέους. Ωστόσο, η ομάδα καθησύχασε τους χρήστες ότι είχε "εξασφαλίσει βραχυπρόθεσμα δάνεια για να καλύψει το 100% του κακού χρέους."
Επίσης εξετάζει την πώληση tokens FLUID "εάν απαιτηθούν πρόσθετα κεφάλαια."
Μετά από μερικούς επικίνδυνους μήνες για το κορυφαίο πρωτόκολλο δανεισμού Aave, με δράμα διακυβέρνησης και λάθος oracle, ο Stani Kulechov της Aave Labs ήταν πρόθυμος να επισημάνει την έλλειψη έκθεσης του Aave.
Αλυσίδα DeFi
Ο ιστός πλατφορμών που επηρεάστηκαν από τον συμβιβασμό ενός μόνο ιδιωτικού κλειδιού είναι μια έντονη υπενθύμιση του πόσο μία από τις βασικές καινοτομίες του DeFi, η διαλειτουργικότητα, είναι ένα обоюδоострο μαχαίρι.
Η αυτοματοποιημένη διανομή μπορεί να βελτιστοποιήσει τις αποδόσεις υπό κανονικές συνθήκες, αλλά όταν τα πράγματα χαλάνε, κάτι που συμβαίνει συχνά στο DeFi, ακολουθεί ανεπιθύμητη συμπεριφορά.
Χωρίς τα δικά τους κεφάλαια σε παιχνίδι, η τρέχουσα διάταξη δημιουργεί κίνητρα για "κακόβουλη θεωρία παιγνίων που ωθεί [τους curators] να αναζητούν περισσότερο κίνδυνο."
Αυτό το τελευταίο επεισόδιο έχει ανανεώσει τις εκκλήσεις για τους curators να έχουν δέρμα στο παιχνίδι. Μία προσέγγιση είναι η διαβάθμιση των καταθέσεων, με τους curators να χάνουν πρώτοι εάν ο κίνδυνός τους δεν είναι σωστά "επιμελημένος."
Έχετε μια πληροφορία; Στείλτε μας ένα email με ασφάλεια μέσω Protos Leaks. Για περισσότερες ενημερωμένες ειδήσεις, ακολουθήστε μας στο X, Bluesky, και Google News, ή εγγραφείτε στο YouTube κανάλι μας.
Πηγή: https://protos.com/resolv-hack-shows-defi-learned-nothing-from-last-contagion/
