Взлом стейблкоина USR компании Resolv на $23 миллиона в воскресенье привел к заражению по всему сектору DeFi (Децентрализованные финансы).
Оппортунистические трейдеры использовали отвязанный USR для заимствования, осушая ликвидность в более чем дюжине доходных хранилищ.
Чтобы усугубить ситуацию, так называемые "кураторы рисков" затем автоматически распределили больше средств на сломанные рынки, поскольку ставки кредитования резко выросли.
В ноябре аналогичное заражение поразило "курируемую" экосистему хранилищ DeFi после того, как Stream Finance объявила о потере $93 миллиона, что привело к 75% xUSD.
Несмотря на обсуждения рейтингов рисков и размещения кураторами капитала первых убытков после случившегося, похоже, что в итоге мало чему научились.
Читать далее: Четыре месяца спустя MEV Capital стал жертвой взрыва цепочки DeFi на $4 миллиарда
Взлом
Заявление Resolv Labs подтвердило, что компрометация приватного ключа привела к несанкционированному (и неограниченному) "выпуску приблизительно $80 миллионов необеспеченного USR".
Предвзломный запас токенов USR остается полностью обеспеченным, при этом потери несут поставщики ликвидности (LP) на децентрализованных биржах, поскольку хакер продавал выпущенные токены. Например, по оценкам, только LP на Curve Finance потеряли $17 миллионов.
Распродажа хакера вызвала отвязку USR, который в настоящее время торгуется по $0,23 согласно данным CoinMarketCap. Блокчейн-компания по безопасности Beosin оценивает прибыль злоумышленника в 11 409 эфиров (ETH), что на момент написания статьи составляет более $23 миллионов.
Команда Resolv столкнулась с критикой за медленное время реакции при сборе необходимых мультиподписных подписей для приостановки протокола.
Она связалась с эксплуататором он-чейн, запросив возврат 90% конвертированного ETH, а также оставшегося USR.
Читать далее: Хакер Venus Protocol потерял $4,7 миллиона после девяти месяцев планирования
Последствия
Взлом мог быть простым, но последующие эффекты были совсем не такими.
На отвязанный USR набросились оппортунистические трейдеры, которые использовали его для осушения доходных хранилищ с жестко закодированными ценовыми оракулами. Покупая дешевый USR для использования в качестве обеспечения, пользователи могли заимствовать другие активы, такие как USDC, как если бы USR все еще стоил $1.
Читать далее: Ошибка оракула усиливает беспорядки в гиганте DeFi Aave
Как будто этого было недостаточно, автоматизированные стратегии "кураторов рисков" затем распределили дополнительные средства на затронутые рынки, чья высокая загруженность привела к резкому росту доходности предложения.
Омер Голдберг из Chaos Labs объяснил, как функция Public Allocator в Morpho позволила кураторам "включая Gauntlet, re7, kpk и 9summits" автоматически распределять активы на миллионы долларов на рынки "на основе предварительно настроенных и утвержденных лимитов и кредитных линий".
В некоторых случаях, говорит Голдберг, распределение в сломанные хранилища продолжалось часами.
Хаос также принес инновации, однако, поскольку автораспределения были даже специально нацелены на освобождение дополнительной ликвидности. Предприимчивые конкуренты Obsidian также воспользовались инцидентом, предложив услугу миграции пользователям, чьи депозиты застряли в неликвидных хранилищах Morpho
Оценка ущерба
Пол Фрамбот из Morpho подсчитал 15 затронутых хранилищ с более чем $10 000 экспозиции к USR.
По словам исследователя безопасности Вейлина Ли, кураторы затронутых хранилищ на Morpho и в других местах включают Gauntlet, Re7, MEV Capital, Extrafi, Seamless, August, Clearstar, kpk, Leyrock и 9Summits.
Для тех, кто следил за ноябрьским крахом, многие из этих имен могут быть знакомы.
Yearn, чьи участники были среди самых жестких критиков доходных хранилищ, которые привели к ноябрьскому краху, понес минимальные потери в $377.
Иронично (или показательно), что собственный менеджер по рискам Resolv, Steakhouse, не был подвержен риску USR, несмотря на заявление о том, что "операционно Resolv демонстрирует институциональную строгость" всего за пять дней до взлома.
Обеспечение стейблкоина DOLA от Inverse Finance было косвенно подвержено отвязке USR, при этом команда пообещала залатать дыру в $340 000.
Ряд рынков кредитования приостановил рынки USR, включая Venus Protocol, который сам был взломан на прошлых выходных, и Lista.
Fluid пострадал больше всего и мог накопить до $17,5 миллиона безнадежных долгов. Однако команда заверила пользователей, что "обеспечила краткосрочные займы для покрытия 100% безнадежных долгов".
Она также рассматривает продажу токенов FLUID "если потребуются какие-либо дополнительные средства".
После рискованных нескольких месяцев для ведущего протокола кредитования Aave, с драмой управления и сбоем оракула, Стани Кулечов из Aave Labs был заинтересован подчеркнуть отсутствие экспозиции Aave.
Цепочка DeFi
Сеть платформ, затронутых компрометацией одного приватного ключа, является ярким напоминанием о том, как одна из ключевых инноваций DeFi, совместимость блокчейна, является обоюдоострым мечом.
Автоматизированное управление рисками может оптимизировать доходность в нормальных условиях, но когда что-то ломается, что часто происходит в DeFi, следует непредвиденное поведение.
Без собственных средств в игре текущая настройка стимулирует "злонамеренную теорию игр, подталкивающую [кураторов] искать больше риска".
Этот последний эпизод возобновил призывы к кураторам иметь личную заинтересованность. Один из подходов — транширование депозитов, при котором кураторы должны потерять первыми, если их риск неправильно "курирован".
Есть совет? Отправьте нам электронное письмо безопасно через Protos Leaks. Для более информированных новостей подписывайтесь на нас в X, Bluesky, и Google News, или подпишитесь на наш YouTube канал.
Источник: https://protos.com/resolv-hack-shows-defi-learned-nothing-from-last-contagion/
