Yazar: The Defiant
Derin Akış TechFlow
Derin Akıntı Öne Çıkar: Bu makale sadece Resolv açıklığını değerlendirmiyor, daha da endişe verici bir şeyi anlatıyor: Aynı saldırı modeli — sabitlenmiş bir orak tarafından bağlanmamış bir stabilcoin'in fiyatının 1 dolar olarak belirlenmesi — son 14 ay içinde en az dört kez gerçekleşti. Sorun teknik bir açıklık değil, curator modelinin teşvik yapısının kendisindeki kusur: Risk depositorlar tarafından taşınırken, kazanç curator tarafından alınır.
Tam metin şu şekildedir:
Sakin bir Pazar sabahı, biri yaklaşık 17 dakika içinde 100.000 doları 25 milyon dolara çevirdi.
Hedef, gelir odaklı stabil coin protokolü Resolv. Resolv'in sözleşmesi askıya alınmadan önce, dolarla bağlantılı stabil coin'i USR, birkaç sente düşmüştü. Bu metnin yazım anına kadar USR, hala ciddi şekilde bağlantısını kaybetmiş durumda ve fiyat yaklaşık 0,25 dolar seviyesinde, bu hafta %70'in üzerinde düşüş gösterdi.
Şok dalgaları sadece Resolv'a sınırlı değil. Fluid/Instadapp, tek bir günde 10 milyon doların üzerindeki kötü borçları emdi ve aynı gün 300 milyon doların üzerindeki net çıkışla tarihinin en büyük günlük çıkışını kaydetti. 15 Morpho kasa etkilenmiştir. Euler, Venus, Lista DAO ve Inverse Finance sırasıyla USR ile ilgili pazarları durdurmuştur.
Bu açıklığın kayıp yayılmasına neden olan mekanizma — kredi piyasasında sabit değeri kaybeden stabilcoin’leri 1 dolar olarak fiyatlandırmak — yeni bir şey değil. Geçtiğimiz 14 ay içinde bu durum en az dört kez gerçekleşti.
Sızıntı nasıl çalışır
USR üretimi, iki adımlı bir çevrimdışı süreç ile gerçekleşir: Kullanıcılar, `requestSwap` fonksiyonu aracılığıyla USDC yatırır; ardından özel bir çevrimdışı imza anahtarı olan `SERVICE_ROLE`, `completeSwap` ile çıkarılacak USR miktarını sonlandırır. Sözleşme, minimum bir çıktı sınırı belirler ancak maksimum bir sınır koymaz. Anahtar sahibi ne imzalarsa, sözleşme o şekilde çalışır.
Saldırgan, Resolv'un AWS anahtar yönetimi hizmeti aracılığıyla bu anahtara erişim elde etti. Toplam yaklaşık 100.000 ila 200.000 ABD doları değerinde iki USDC yatırımı yaptıktan sonra, çalınan anahtarı kullanarak karşılığında 80 milyon USR üretmeyi yetkilendirdi. Zincir üstü veriler, iki işlemin sırasıyla 50 milyon USR ve 30 milyon USR olduğunu ve her ikisinin de birkaç dakika içinde üretildiğini gösteriyor.
"Resolv USR açıklaması bir hata değil—tasarıma uygun olarak düzgün çalışan bir özelliktir. İşte sorunun aslı." diyor zincir üzerindeki analist Vadim (@zacodil).
SERVICE_ROLE, çok imzalı bir adres değil, sıradan bir dış hesap adresidir. Yönetici anahtarları çok imzalı korumaya sahiptir, ancak döküm anahtarı değildir.
"Resolv, 18 kez denetlendi," diye konuştu Vadim, "bu denetimlerden birinde bulunan bir adlandırma doğrudan 'üst sınır eksikliği' olarak adlandırıldı."
Saldırgan, sistematik bir şekilde geri çekildi: Önce üretilen USR'yi pazar şokunu azaltmak için wstUSR'e (stake edilmiş paketlenmiş sürüm) dönüştürdü, ardından Curve, Uniswap ve KyberSwap üzerinden ETH'e çevirdi. Saldırganın cüzdanında yaklaşık 11.400 ETH (yaklaşık 24 milyon dolar) bulunuyor. Sistemin tamamını destekleyen ETH ve BTC teminat havuzları, stabil paranın çöküşüyle birlikte sağlam kaldı.
Bulaşma nasıl yayılır
Resolv açıkları aslında iki olayın bir araya gelmesidir. İlk olay, maden olayıdır; ikinci olay ise zincirleme kredi pazarının başarısız olmasıdır.
USR ve wstUSR çöktüğünde, bunları teminat olarak kabul eden her kira pazarı aynı sorunu yaşıyor: tahmincileri hâlâ wstUSR'yi yaklaşık 1 dolar olarak fiyatlandırıyor.
Risk analysis firm Chaos Labs kurucusu Omer Goldberg, bu mekanizmayı kaydetti. Temel bulgusu şuydu: "Oraklar sabit kodlanmıştır ve bu nedenle asla yeniden fiyatlanmaz. wstUSR, 1,13 dolar olarak işaretlenmiştir, ancak ikinci el piyasada yaklaşık 0,63 dolar fiyatla işlem görmektedir."
Traderlar, wstUSR'yu açık piyasada düşük fiyata alıp, Morpho veya Fluid üzerinde oracle fiyatı 1.13 USD ile抵押 olarak kullanarak USDC kiralayıp çekiliyor.
Fluid'de, ekibin %100 kredi zararını karşılamak için kısa vadeli kredi topladığı ve her kullanıcıya tam tazminat sağladığı bildirildi. Morpho'da ortak kurucu Paul Frambot, yaklaşık 15 kasa yüksek riskli, uzun kuyruk teminat stratejilerinde büyük marjlarla yer aldığını belirtti.
Ünlü kuratör Gauntlet, "birkaç yüksek getirili kasa için maruziyet sınırlıdır." dedi.
Ancak D2 Finance, bu iddiayı doğrudan reddederek, Gauntlet'ın başlıca "USDC Core Kasa"sının wstUSDT/USDT pazarına 4,95 milyon dolar tahsis ettiğini gösteren zincir üstü verileri yayınladı. Goldberg, ardından Gauntlet kasanın bu pazarda kredi veren likiditenin %98'ini oluşturduğunu belirtti.
Frambot, The Defiant'e yazılı cevapta: "Her türlü riski daha kapsamlı bir şekilde sunmak için sürekli olarak araştırmalar yapıyoruz. Ancak buradaki temel sorunun etiketlenmemiş olma olmadığını düşünüyoruz."
Frambot, "Morpho, bir oracle'a bağımlı değildir; bu, kuratörlerin belirli piyasalar için en uygun oracle'ı seçmelerine izin verir. Morpho, risk yönetiminin kuratörlere dışlanmasını amaçlayan açık ve izinsiz altyapıdır."
"Tüm senaryolarda nesnel bir 'doğru' koruma duvarı uygulamak zordur," diyor Frambot, "protokol düzeyinde kısıtlamalar getirmek, yasal stratejilerin uygulanmasını engelleme riskini de taşır."
Alt protokol, risk yönetimiyle kuratörleri sorumlu bıraksa da, sektördeki bazı kişiler kuratörlerin görevlerini yerine getirmediğini düşünüyor.
"Curator endüstrisinin tasarımı, gerçek bir kuratörlük olmaması nedeniyle kusurludur." Marc Zeller, X üzerinde dedi.
Yazının yayımlanması itibarıyla, Resolv, Gauntlet ve Fluid, The Defiant'ın yorum isteğine yanıt vermedi.
Tekrarlanan bir başarısızlık modeli
Bu yeni bir saldırı değil. 2025 yılında Ocak ayında, Usual Protocol'un USD0++'u, curator MEV Capital tarafından Morpho kasesinde 1 dolar olarak sabitlendi. Usual, herhangi bir uyarı vermeden geri ödeme taban fiyatını aniden 0,87 dolara düşürdü ve bu da kredilerin MEV Capital kasesinde kilitlenmesine neden oldu; kase kullanım oranı %100'e yükseldi.
2025 yılı Kasım ayında, Stream Finance'in xUSD'si çöktü; önceki kuratör, USDC yatırımlarını bu sentetik stabil para birimiyle desteklenen kaldırmalı döngülere yönlendirmişti ve tahmin edicisi güncelleme yapmayı reddettiğinde, Morpho, Euler ve Silo'da yaklaşık 285 milyon ila 700 milyon dolarlık varlıklar risk altına girdi. Moonwell, 2025 yılının Ekim ve Kasım aylarında ardışık iki tahminici arızası yaşadı ve toplamda 5 milyon doların üzerinde kötü borç oluştu.
Bu, kuratör modeli için ne anlama geliyor
Morpho, tüm risk kararlarını üçüncü taraf "curator"lara dışarılar, bunlar kasa oluşturur, teminat seçer, kredi değeri oranını belirler ve oracle seçer. Bu teoriye göre, uzman kurumlar daha derin uzmanlığa sahiptir, rekabet daha iyi risk yönetimi sağlar ve protokol kuralları uygular.
Ancak kuratörler, üretilen getiriye dayalı ücretler kazanır, bu da daha yüksek riskli ve daha yüksek getirili teminatları (örneğin getiri sağlayan stabil para birimlerini) kabul etme teşvikini oluşturur. Sorun, bu stabil para birimlerinin değerinden sapma olduğunda kayıpların kuratörler değil, yatırımcılar tarafından taşınmasıdır. Resolv olayında, bazı kuratörlerin otomatik robotları, açıklık yaşandıktan sonra saatlerce etkilenen kasaalara para aktarmaya devam etti ve kayıpları derinleştirdi.
Getiri sağlayan stabil kripto para birimleri için sabitlenmiş bir oracle kullanımının nedeni, kısa vadeli dalgalanmaların gerekli olmayan teminat tahliyelerini tetiklemesini önlemektir. Ancak bu koruma, stabil kripto para biriminin istikrarını koruduğu sürece geçerlidir.
Zincir üstü analiz kuruluşu Chainalysis, gerçek zamanlı zincir üstü tespit kapasitesine ihtiyaç olduğunu belirtti.
Bu analiz kuruluşu, "Zincir üstü akıllı sözleşmeler tamamen sorunsuz şekilde çalışıyor. Sorun, daha geniş sistem tasarımı ve zincir dışı altyapıda ortaya çıkıyor." dedi.