मूल लेखक: बोकै बोकै (X: @bocaibocai_)
मुख्य सारांश
आक्रमण तकनीक: आक्रमक ने केवल लगभग 10 डॉलर के USDC का उपयोग करके, USR मिंटिंग फ़ंक्शन में एक महत्वपूर्ण दुर्बलता का दोहन किया—संभवतः ओरेकल को हेरफेर किया गया, ऑफ-चेन साइनर कुंजी लीक हो गई, या मिंटिंग अनुरोध और निष्पादन के बीच राशि की जांच की अनुपस्थिति—जिससे 80 मिलियन USR (लगभग 80 मिलियन डॉलर के मूल्य के) का निर्माण किया गया, और फिर तुरंत वास्तविक संपत्ति में बदल दिया गया।
अर्बिट्रेज पथ: हमलावर ने अवैध रूप से निर्मित USR को Curve Finance जैसे तरलता पूल में बार-बार बेच दिया, जिससे USR की कीमत न्यूनतम 2.5 सेंट तक गिर गई, और अनबॉन्डिंग के दौरान लगभग 25 मिलियन डॉलर की नकदी निकाली, जिसके बाद अर्बिट्रेज लाभ को ETH में बदलकर धोया गया।
नुकसान वितरण: रेसोल्व द्वि-स्तरीय जोखिम ढांचे के डिज़ाइन तर्क के अनुसार, इस हमले के कारण हुए जमानत की कमी को पहले RLP बीमा पूल धारकों द्वारा सहन किया जाएगा (RLP मूल्य प्रोटोकॉल के नेट एसेट वैल्यू के साथ गिरेगा), और USR धारकों को प्रोटोकॉल के रिडीमप्शन रोके जाने से पहले सिद्धांत रूप से सुरक्षा प्राप्त है; हालाँकि, Morpho जैसे ऋण प्रोटोकॉल पर USR लीवरेज लूपिंग पोजीशन्स के अनबैंड होने के कारण जबरन बंद हो गए, जिससे द्वितीयक नुकसान हुआ।
सह-संबंधित अनुबंध: प्रभावित प्रमुख DeFi अनुबंधों में शामिल हैं: Curve Finance (USR/USDC तरलता पूल तुरंत विघटित हो गया), Morpho (USR को जमानत के रूप में उपयोग करने वाले लीवरेज्ड पोजीशन को क्लीयर किया गया), Fluid और Euler (जिनमें भी USR/RLP सर्कुलर पोजीशन मौजूद हैं)।
उद्योग चेतावनी: यह घटना डेल्टा-न्यूट्रल स्थिर मुद्रा की एक मूलभूत कमजोरी को उजागर करती है—मिंटिंग तर्क और ऑफ-चेन सिग्नेचर/प्रोवाइडर के जुड़ाव बिंदु प्रणाली का सबसे कमजोर हमला सतह है, और कोई भी "1 डॉलर मिंट करने के लिए 1 डॉलर" की पूंजी कुशलता डिजाइन को अत्यधिक कठोर कॉन्ट्रैक्ट सुरक्षा ऑडिट के साथ शर्त रखनी चाहिए।
एक, RESOLV और USR: इस प्रणाली को समझने के लिए, इस हमले को समझें
हमें आक्रमण के बारे में चर्चा करने से पहले यह समझना होगा कि USR कैसे काम करता है—क्योंकि हमलावर इसके डिज़ाइन के सबसे सूक्ष्म और सबसे कमजोर हिस्से का फायदा उठा रहे हैं।
USR की मुख्य तंत्र: डेल्टा न्यूट्रल स्थिर मुद्रा
USR बैंक जमा से समर्थित स्थिर मूल्य वाली क्रिप्टोकरेंसी USDT नहीं है, और न ही अतिरिक्त प्रतिभूति वाली स्थिर मूल्य वाली क्रिप्टोकरेंसी DAI है। यह डेल्टा-न्यूट्रल स्थिर मूल्य वाली क्रिप्टोकरेंसी है—एक ऐसी संरचना जो "एक ओर ETH स्पॉट रखना + दूसरी ओर ETH परपेचुअल कॉन्ट्रैक्ट पर शॉर्ट पोजीशन लेना" के माध्यम से शुद्ध जोखिम-न्यूट्रलता प्राप्त करती है [नोट 1]।
निम्नलिखित तर्क है:
जब आप 1 डॉलर का ETH जमा करके 1 USR मिंट करते हैं, तो Resolv प्रोटोकॉल समान मात्रा में ETH की फ्यूचर्स पोजीशन खोलता है। अगर ETH बढ़ता है, तो स्पॉट में मुनाफा होता है और फ्यूचर्स में नुकसान; अगर ETH गिरता है, तो फ्यूचर्स में मुनाफा होता है और स्पॉट में नुकसान—दोनों एक-दूसरे को बराबर कर देते हैं, इसलिए शुद्ध संपत्ति हमेशा लगभग 1 डॉलर के बराबर रहती है। इससे USR, ETH की कीमत से अलग हो जाता है, जबकि 1:1 के डॉलर से जुड़े रहने की प्रतिबद्धता बनी रहती है [नोट 2]।
इस वास्तुकला का लाभ अत्यधिक पूंजी कुशलता है: आपको 1 डॉलर के ETH की आवश्यकता होती है ताकि 1 USR जारी किया जा सके, अतिरिक्त प्रतिभूति की आवश्यकता नहीं होती। आय के स्रोत हेज्ड पोजीशन के फंडिंग रेट (लंबी पोजीशन द्वारा छोटी पोजीशन को भुगतान किया जाने वाला शुल्क) और ETH क्वायरिंग रिवॉर्ड हैं, जिससे USR होल्डर्स को लगभग 5-6% की वार्षिक आय मिलती है, और stUSR के क्वायर्ड संस्करण की दर अधिक होती है [नोट 3]।
दोहरी आर्किटेक्चर: USR और RLP का जोखिम अलगाव
Resolv ने "कौन अनुबंध संचालन जोखिम वहन करेगा" की समस्या को हल करने के लिए द्वि-स्तरीय टोकन संरचना डिज़ाइन की:
USR स्तर (उच्च प्राथमिकता): धारकों को स्थिर अनुबंध सुरक्षा प्राप्त होती है, और उनके द्वारा कोई हानि नहीं ली जाती है;
RLP स्तर (पश्चगामी स्तर): RLP धारक अनुबंध के लिए "बीमा पूल" का कार्य करते हैं, जो बाजार जोखिम, विपरीत पक्ष का जोखिम (जैसे फंडिंग दर लगातार ऋणात्मक होना) और संभावित अनुबंध जोखिम को स्वीकार करते हैं, और इसके बदले उच्चतर आय (20-40% वार्षिक) प्राप्त करते हैं [टिप्पणी 4]।
नियम स्पष्ट हैं: कोई भी नुकसान, पहले RLP से काटा जाएगा, फिर USR से। जब USR की प्रतिभूति दर 110% से नीचे आ जाती है, तो RLP रिडीम को स्वचालित रूप से जमा कर दिया जाएगा, ताकि USR होल्डर्स की सुरक्षा प्राथमिकता प्राप्त हो सके [नोट 5]।
यह हमले के नुकसान के वितरण को समझने की मुख्य पूर्वशर्त है।
आक्रमण का केंद्र: मिंटिंग फंक्शन में क्या समस्या थी?
यह अभी सबसे महत्वपूर्ण और सबसे कम जानकारी वाला हिस्सा है। ऑन-चेन डेटा ने एक बात की पुष्टि कर दी है: हमलावर ने 100,000 डॉलर के USDC का उपयोग करके 50 मिलियन डॉलर के USR [1] को "खरीदा"। यह 1:500 का मिंटिंग अनुपात यह संकेत देता है कि कॉन्ट्रैक्ट की मिंटिंग राशि की जांच पूरी तरह से असफल हो गई है।
क्रिप्टो फंड D2 Finance ने तीन संभावित हमले के मार्ग की कल्पना की है [नोट 9]:
हाइपोथेसिस A: ऑरेकल का हेरफेर (Oracle Manipulation)। USR की निर्माण कीमत एक कीमत ऑरेकल पर निर्भर करती है। यदि हमलावर एक लेनदेन में ऑरेकल की कीमत को अस्थायी रूप से कम कर सकता है (उदाहरण के लिए, स्विफ्ट लोन के माध्यम से बाजार को नीचे धकेलकर), तो कॉन्ट्रैक्ट को लग सकता है कि उपयोगकर्ता द्वारा जमा किए गए संपत्ति का मूल्य अधिक है, जिससे अतिरिक्त USR का निर्माण हो सकता है [टिप्पणी 6]।
हाइपोथेसिस B: ऑफ-चेन साइनर की की लीक (Off-Chain Signer Compromise)। Resolv की मिंटिंग प्रक्रिया में एक ऑफ-चेन साइनेचर वेरिफिकेशन चरण शामिल है—उपयोगकर्ता के मिंटिंग अनुरोध को प्रोटोकॉल के बैकएंड सर्विस द्वारा साइन किए जाने की आवश्यकता होती है। यदि यह साइनिंग कुंजी चोरी हो जाती है, तो हमलावर कोई भी राशि का वैध मिंटिंग निर्देश बना सकता है और सभी ऑन-चेन सीमाओं को बाईपास कर सकता है [2]।
हाइपोथेसिस C: अनुरोध और निष्पादन के बीच राशि की जांच का अभाव (Validation Gap)। मिंटिंग प्रक्रिया "अनुरोध शुरू करना" और "मिंटिंग निष्पादित करना" दो चरणों में विभाजित है। यदि कॉन्ट्रैक्ट निष्पादन के समय अंतिम निष्पादित राशि की जांच नहीं करता है कि वह अनुरोधित राशि के समान है या नहीं, तो हमलावर अनुरोध के बाद और निष्पादन से पहले पैरामीटर्स को बदल सकता है और अतिरिक्त मिंटिंग कर सकता है।
रिपोर्ट तैयार करने के समय तक, रेसोल्व ने अभी तक पूर्ण दोष मूल कारण विश्लेषण (RCA) जारी नहीं किया है, इसलिए उपरोक्त तीनों परिकल्पनाओं की प्राथमिकता अभी अंतिम रूप से निर्धारित नहीं की जा सकती है।
आक्रमण के प्रभाव के आधार पर, हाइपोथेसिस B (हस्ताक्षरकर्ता कुंजी रिसाव) या हाइपोथेसिस C (वैधीकरण तर्क का अभाव) की संभावना अधिक है — क्योंकि ऑरेकल हस्तक्षेप के लिए आमतौर पर बड़ी राशि की आवश्यकता होती है और इतना चरम मूल्य विचलन प्राप्त करना कठिन होता है; जबकि 80 मिलियन USR के निर्माण के समय, हमलावर द्वारा निवेश की गई राशि बहुत कम थी, जो "कॉन्ट्रैक्ट वैलिडेशन को बाईपास करने" की विशेषता के साथ अधिक मेल खाती है।
आक्रमणकारी कैसे नकदी निकालते हैं: एक पाठ्यपुस्तक स्तरीय DeFi भाग नाटक
आक्रमणकारी को 80 मिलियन USR प्राप्त होने के बाद, चुनौती यह है: झूठे निर्मित स्थिर मुद्रा को वास्तविक मूल्य में कैसे बदलें?
D2 Finance ने इसे "पाठ्यपुस्तकीय DeFi हैकिंग और निकासी पथ" कहा है: हमलावर ने USR को कई लिक्विडिटी प्रोटोकॉल में बैच के रूप में भेजा और प्राथमिकता देकर Curve Finance के USR/USDC पूल (USR का सबसे बड़ा लिक्विडिटी पूल, दैनिक व्यापार आयतन 360 डॉलर) में बड़े पैमाने पर बेचा [नोट 10]।
चूंकि क्राइव की तरलता सीमित है, जब 80 मिलियन USR अचानक प्रवाहित हुए, तो पूल पूरी तरह से टूट गया—17 मिनट में USR की कीमत 1 डॉलर से घटकर 2.5 सेंट हो गई। हमलावर ने 1 डॉलर पर सभी USR बेचने की उम्मीद नहीं की, बल्कि 0.25 डॉलर से 0.5 डॉलर के बीच USDC/USDT में क्रमिक रूप से विनिमय किया, और अंततः लाभ को ETH में बदलकर निकाल लिया।
PeckShield के अनुसार, अंतिम निकास राशि लगभग 25 मिलियन डॉलर है [नोट 11]—चूंकि बहुत सारे USR को अत्यंत कम कीमत सीमा में बेचने से स्लिपेज का नुकसान हुआ, इससे पता चलता है कि हमलावर का वास्तविक निकास अनुपात लगभग 30% (25 मिलियन/80 मिलियन) है। शेष 70% का "मूल्य" तरलता के समाप्त हो जाने के कारण हुए विशाल स्लिपेज में खो गया।
तीसरा: अनबॉन्डिंग के बाद: USR, RLP और प्रतिभूति प्रणाली क्या हुआ
USR की कब्जा दर तुरंत गिर गई
सामान्य संचालन के दौरान, USR 1:1 ETH+ हेज पोजीशन द्वारा समर्थित होता है। लेकिन 80 मिलियन अनसुरक्षित USR के सिस्टम में जारी होने के बाद, पूरे USR आपूर्ति के समकक्ष वास्तविक संपत्ति 1:1 रिडीम के लिए पर्याप्त नहीं है—कवरेज रेश्यो 100% से काफी नीचे गिर गया है।
यह सीधे RLP स्तर के सुरक्षा तंत्र को ट्रिगर करता है—सिद्धांत रूप से, प्रोटोकॉल RLP रिडीम्पशन को जमा कर देगा और USR होल्डर्स की सुरक्षा को प्राथमिकता देगा। लेकिन इसके साथ ही, चूंकि USR स्वयं अपने मूल्य से अलग हो चुका है (द्वितीयक बाजार में लगभग 0.87 डॉलर के मूल्य पर व्यापार हो रहा है), USR होल्डर्स को बाजार मूल्य पर बेचने की हानि का सामना करना पड़ रहा है।
लेनदेन समझौते का कैस्केडिंग क्लीयरेंस
This is one of the most underestimated collateral damages of this incident.
Resolv की वृद्धि मुख्य रूप से एक रणनीति पर निर्भर करती है: उपयोगकर्ता USR को मॉर्फो, फ्लूइड, यूलर आदि उधार अनुबंधों में जमा करते हैं, USDC उधार लेते हैं, और फिर अधिक USR खरीदते हैं, जिससे लीवरेज लूपिंग पोजीशन बनती है, कुछ उपयोगकर्ताओं का लीवरेज अनुपात 10 गुना तक है [3]।
जब USR की कीमत 1 डॉलर से गिरकर 0.87 डॉलर और उससे भी कम हो गई, तो इन लीवरेज पोजीशन्स के जमानत का मूल्य तुरंत 13% से अधिक गायब हो गया। चूंकि ऋण समझौते स्वचालित रूप से जमानत अनुपात क्लीयरेंस लाइन के नीचे गिरने पर पोजीशन क्लोज कर देते हैं, इसलिए बहुत सारे USR को रोबोट्स द्वारा क्लीयर किया गया, जिससे अधिक USR द्वितीयक बाजार में बेचा गया और कीमत और नीचे दब गई—यह एक क्लासिक मृत्यु सर्पिल दबाव बन गया [टिप्पणी 7]।
Morpho पर एक विशेष "MEV Capital Resolv USR Vault" है, जिसका TVL हमले से पहले काफी स्तर पर पहुँच चुका था, और ये पोजीशन्स ही प्रमुख दुष्प्रभावों का सामना कर रही थीं [4]।
Protocol TVL का तीव्र संकुचन
Resolv के हमले से पहले TVL कई अरब डॉलर के स्तर तक बढ़ गया था (पहले 6.5 अरब डॉलर से अधिक का शीर्ष स्तर था, जो मुख्य रूप से Morpho और Euler पर लीवरेज पोजीशन्स द्वारा चलाया जा रहा था)। प्रोटोकॉल के निलंबित होने के बाद, उपयोगकर्ता USR को वापस नहीं ले पाए, और USR की कीमत के अनुबंध से विचलित होने के कारण TVL संख्या की गणना में भ्रम हो गया [5]।
चार। क्षति किसके द्वारा वहन की जाएगी? सभी पक्षों के जोखिम एक्सपोजर का विश्लेषण
RLP होल्डर्स डिज़ाइन के अनुसार पहली हानि स्तर हैं। हमले से उत्पन्न कॉलैटरल गैप (80 मिलियन अनकवर्ड USR जारी किए गए) सीधे RLP नेट वैल्यू में कमी के रूप में प्रतिबिंबित होगा—RLP की कीमत प्रोटोकॉल के अतिरिक्त कॉलैटरलिज़ेशन के हिस्सेदारी प्रमाणपत्र है, और जब प्रोटोकॉल का कुल अनकवर्ड ऋण होता है, तो RLP सबसे पहले मूल्यह्रास होता है [6]।
USR लीवरेज पोजीशन धारक सबसे अधिक नुकसान उठाने वाले होते हैं। वे न केवल क्लीयरेंस का सामना करते हैं (जिसके साथ आमतौर पर 5-10% का जुर्माना लगता है), बल्कि USR के एंकर से अलग होने के दौरान अपनी पोजीशन को एंकर मूल्य से कम कीमत पर बेच देते हैं, जिससे नुकसान अवश्यम्भावी हो जाता है।
क्रिव एलपी लिक्विडिटी प्रोवाइडर्स अस्थायी हानि का सामना करते हैं—जब हमलावर बड़ी मात्रा में USR बेचता है, तो एलपी की पूल "50% USR/50% USDC" से सक्रिय रूप से बड़ी मात्रा में USR को अवशोषित कर लेती है (USDC बेचकर, अधिक सस्ते USR को रखकर), जिससे आर्बिट्रेज हानि उत्पन्न होती है [नोट 8]।
सामान्य USR धारक: डिज़ाइन के अनुसार, यदि प्रोटोकॉल सामान्य रूप से निलंबन तंत्र को ट्रिगर करता है, तो USR धारक शेष वास्तविक प्रतिभूति के 1:1 के अनुपात में रिडीम कर सकते हैं। लेकिन समस्या यह है: हमले के बाद प्रोटोकॉल ने सभी कार्यों को निलंबित कर दिया है, रिडीमिंग खिड़की बंद हो गई है, और वास्तविक विक्रेता केवल 0.87 डॉलर की बाजार की कीमत पर ही लेनदेन कर सकते हैं, जिससे उन्हें 13% का अनबॉन्डिंग नुकसान होता है।
पांचवाँ: आपातकालीन प्रतिक्रिया: RESOLV टीम के उपाय
Resolv टीम की पहली प्रतिक्रिया सभी प्रोटोकॉल कार्यों, जिसमें मिंटिंग, रिडीमिंग और ट्रांसफर शामिल हैं, को तुरंत निलंबित करना था, ताकि हमलावर के आगे के कार्रवाई के मार्ग को काटा जा सके [1]।
रिपोर्ट तैयार किए जाने के समय तक, Resolv ने हमले की पुष्टि कर दी है, लेकिन पूर्ण पोस्ट-मॉर्टम रिपोर्ट और औपचारिक क्षतिपूर्ति योजना अभी तक जारी नहीं की गई है। यह DeFi सुरक्षा घटनाओं के लिए आम व्यवहार के अनुसार है—टीमें आमतौर पर श्रृंखला पर जांच और दोष की पुष्टि के लिए 48-72 घंटे का समय लेती हैं, जिसके बाद ही वे विस्तृत उपाय प्रकाशित करती हैं।
ध्यान देने योग्य बात यह है कि Resolv पहले ही Immunefi के साथ साझेदारी करके वल्नरेबिलिटी बोनस प्रोग्राम स्थापित किया था और Hypernative की एक्टिव सिक्योरिटी मॉनिटरिंग सिस्टम लागू किया था [7]। इसके सिद्धांत रूप में असामान्य मिंटिंग घटनाओं के चेतावनी संकेतों को पकड़ना चाहिए—जो एक प्रश्न उठाता है: क्या चेतावनी प्रणाली ने समय पर प्रतिक्रिया दी, या हमले की गति इतनी तेज थी कि मानव हस्तक्षेप का समय सीमा समाप्त हो गया?
从 USR 在 17 分钟内暴跌至 2.5 美分的极端速度来看,攻击执行效率极高,反应时间窗口非常有限。
छह: समान प्रोटोकॉल के बारे में चेतावनी: डेल्टा न्यूट्रल स्टेबलकॉइन का व्यवस्थागत जोखिम
यह Resolv घटना एक अलग घटना नहीं है, यह DeFi "सिंथेटिक डॉलर" स्पेस में एक टाइपिकल फेलियर का प्रतिनिधित्व करती है।
मुख्य सबक 1: ऑफ-चेन साइनर्स एक केंद्रीकृत खतरा हैं। डेल्टा-न्यूट्रल स्टेबलकॉइन के कुशल मिंटिंग के लिए, आमतौर पर ऑर्डर सत्यापन के लिए ऑफ-चेन बैकएंड सेवाएँ शामिल की जाती हैं। यह "ऑफ-चेन घटक" मूल रूप से एक केंद्रीकृत अधिकार नोड है—अगर इसकी निजी कुंजी लीक हो जाए, तो हमलावर के पास प्रोटोकॉल का मिंटिंग अधिकार हो जाता है। यह Web2 की सुरक्षा कमजोरियों को Web3 में शामिल करना है [8]।
मुख्य सबक दो: "1:1 पूंजी दक्षता" एक द्विधारी तलवार है। अतिरिक्त प्रतिभूति प्रणाली (जैसे MakerDAO) का डिजाइन दर्शन यह है कि यदि कॉन्ट्रैक्ट में छोटा दोष हो, तो अतिरिक्त सुरक्षा प्रतिभूति कुछ नुकसान को अवशोषित कर सकती है। डेल्टा-उदासीन प्रणाली में सुरक्षा को शून्य कर दिया जाता है—किसी भी मुद्रण तर्क की विफलता सीधे समान अनुपात में प्रणाली में खालीपन पैदा करती है, कोई अतिरिक्तता नहीं।
मुख्य सबक 3: जब TVL तेजी से बढ़ रहा हो, तो ऑडिट पीछे रह जाता है। Resolv ने तीन महीनों में 50 मिलियन डॉलर से कम TVL से बढ़कर 650 मिलियन डॉलर से अधिक कर लिया, जिसका मुख्य कारण Morpho पर लीवरेज्ड साइकिलिंग स्ट्रैटेजी थी। सिस्टम की जटिलता और एकीकरण बिंदुओं का तेजी से विस्तार, ऑडिट के लिए भारी दबाव पैदा करता है। DeFi के इतिहास में ऐसा ही सबक कई बार देखा गया है: Euler Finance (मार्च 2023, 197 मिलियन डॉलर की हानि), Inverse Finance (अप्रैल 2022, 15.6 मिलियन डॉलर) — ये सभी "डिज़ाइन में तर्कसंगत लेकिन मिंटिंग/बॉरोइंग लॉजिक में सूक्ष्म विफलताओं" के दुखद परिणाम हैं [9]।
सातवाँ: मुख्य निष्कर्ष
इस हमले से सिर्फ एक कॉन्ट्रैक्ट वैक्यूम ही नहीं, बल्कि डेल्टा-न्यूट्रल स्टेबलकॉइन सेगमेंट में एक गहरा संरचनात्मक विरोधाभास सामने आया।
कहानी की शुरुआत USR के डिजाइन के दावों से हुई: कानूनी मुद्रा आरक्षित के बिना, अतिरिक्त प्रतिभूति के बिना, केवल हेजिंग डेरिवेटिव्स के माध्यम से 1:1 पूंजी की दक्षता प्राप्त करना। यह डिजाइन ऊपर की ओर की अवस्था में पूरी तरह से त論 था—उपयोगकर्ता 1 डॉलर ETH का उपयोग करके 1 USR जारी करते हैं, प्रोटोकॉल उपयोगकर्ताओं को वित्तीय शुल्क के माध्यम से रिवॉर्ड देता है, और कई अरब डॉलर का TVL तेजी से जमा हो गया।
लेकिन "1:1 पूंजी दक्षता" का अर्थ है कि सिस्टम में कोई भी प्रतिभूति बफर नहीं है। एक बार जब मिंटिंग लॉजिक में कोई दरार हो जाए—चाहे ऑफ-चेन साइनर कुंजी लीक हो जाए, या अनुरोध और निष्पादन के बीच की जांच अनुपस्थित हो—हमलावर किसी भी मात्रा में स्थिरांक बना सकता है। यह अतिरिक्त प्रतिभूति सिस्टम की तरह कोई सुरक्षा पैड नहीं है, बल्कि यह सीधे सिस्टम को पार करता है।
8000 वाणिज्यिक USR के निर्माण में केवल 10 लाख डॉलर, 17 मिनट और 2.5 सेंट की कीमत के निम्नतम स्तर का उपयोग हुआ। हमलावर ने 25 मिलियन डॉलर की वास्तविक मूल्य निकाल ली, और प्रोटोकॉल को एक ऐसा ब्लैकहोल छोड़ दिया जिसे अभी तक ठीक किया जाना है—और RLP होल्डर्स, लीवरेज पोजीशन उपयोगकर्ताओं और Curve LP द्वारा साझा की गई, वास्तविक लागत के साथ एक बिल।
Curve, Morpho, Fluid, Euler जैसे परिधि प्रोटोकॉल के संबंधित क्षति, DeFi दुनिया की "अत्यधिक संयोज्यता" (Hypercomposability) का दूसरा पहलू है: सामान्य समय में प्रोटोकॉल के बीच एकीकरण लाभ को बढ़ाता है, जबकि संकट के समय जोखिम को भी बढ़ाता है। अंततः, इस घटना का संदेश यह है: DeFi में, आप जितने दक्षता के खिड़की खोलते हैं, उतने ही हमले के सतह खोलते हैं। ऑफ-चेन साइनर की उपस्थिति प्रोटोकॉल को अधिक लचीला बनाती है, लेकिन इसे एक केंद्रीकृत मारक कमजोरी भी जोड़ती है।
टिप्पणी
[注1] डेल्टा न्यूट्रल (Delta Neutral): वित्तीय व्युत्पन्न शब्दावली। डेल्टा एक संपत्ति की कीमत में परिवर्तन के लिए आधारभूत संपत्ति की कीमत में परिवर्तन की संवेदनशीलता को मापता है। "डेल्टा=0" का अर्थ है कि स्थिति आधारभूत संपत्ति की कीमत में वृद्धि या कमी के साथ लाभ या हानि नहीं करती है—अर्थात् पूरी तरह से हेज किया गया है। रेसोल्व के लिए, 1 डॉलर ETH (डेल्टा=+1) रखना और समान मात्रा में ETH फ्यूचर्स पर शॉर्ट पोजीशन (डेल्टा=-1) रखना, शुद्ध डेल्टा=0 होता है, इसलिए इसे "डेल्टा न्यूट्रल" कहा जाता है।
[注2] परपेचुअल फ़्यूचर्स: एक ऐसा फ़्यूचर्स कॉन्ट्रैक्ट जिसमें कोई एक्सपायरी डेट नहीं होती, जो क्रिप्टोकरेंसी मार्केट का प्रमुख डेरिवेटिव टूल है। शॉर्ट परपेचुअल फ़्यूचर्स होल्ड करने का अर्थ है: ETH की कीमत गिरने पर मुनाफ़ा, बढ़ने पर नुकसान, जिससे स्पॉट ETH के कीमत जोखिम का हेजिंग होता है।
[注3] फंडिंग दर: स्थायी निपटान बाजार का संतुलन तंत्र। जब लंबी स्थितियाँ छोटी स्थितियों से अधिक होती हैं, तो लंबी स्थितियाँ नियमित रूप से छोटी स्थितियों को "फंडिंग शुल्क" देती हैं, और इसके विपरीत। रेसोल्व, छोटी पक्ष के रूप में, बुलिश प्रवृत्ति वाले क्रिप्टो मार्केट में आमतौर पर फंडिंग शुल्क का लगातार अर्जन करता है, जो इसका मुख्य आय स्रोत है।
[Note 4] Junior Tranche: In a financial tranching structure, junior tranche investors are the first to absorb losses (equivalent to "first loss bearers"), but they also receive higher risk premiums as compensation during profit distribution. RLP represents the junior tranche of the Resolv protocol, while USR represents the senior tranche.
[Note 5] 110% collateralization trigger line: The total value of USR's collateral assets is 1.1 times the total circulating supply of USR. When below this line, RLP redemptions are paused to ensure remaining assets are prioritized for USR holders' redemptions.
[Note 6] Flash Loan: A collateral-free borrowing tool unique to DeFi, requiring the loan and repayment to be completed within the same transaction (same block). Attackers can use this to temporarily obtain large amounts of funds to manipulate prices, as long as the loan is repaid before the transaction ends, with nearly zero cost.
[Note 7] Death Spiral: Self-reinforcing collapse during deleveraging: asset price decline → triggers liquidations → more assets sold → price falls further → triggers more liquidations, in a cycle.
[Note 8] Impermanent Loss: A unique risk faced by liquidity providers in automated market makers (AMMs). When the price ratio of the two assets in the pool deviates from the initial state, the value of the LP's portfolio falls below the value of simply holding the two assets; this difference is the impermanent loss.
[नोट 9] D2 Finance / CoinTelegraph विश्लेषण, D2 Finance के टिप्पणी का उल्लेख करते हुए: "या तो ऑरेकल को धोखा दिया गया था, ऑफ-चेन साइनर सुरक्षित नहीं था, या अनुरोध और पूर्ति के बीच रकम की सत्यापन प्रक्रिया सरलता से अनुपलब्ध है।" उसी स्रोत से।
[नोट 10] कॉइनटेलीग्राफ के अनुसार, USR का Curve USR/USDC पूल में 24 घंटे का व्यापार आयतन 3.6 मिलियन डॉलर था, और 2:38 UTC पर कीमत 2.5 सेंट तक गिर गई।
[नोट 11] पेकशील्ड द्वारा अनुमानित डेटा, कॉइनटेलीग्राफ से संदर्भित: "पेकशील्ड ने अनुमान लगाया कि हमलावर ने यूएसआर के डीपेग के बीच लगभग 25 मिलियन डॉलर निकाल लिए।"