Resolv призупинив свій протокол після компрометації приватного ключа, що дозволило зловмиснику випустити приблизно 80 млн доларів США в неколатералізованих USR. Це спричинило різке відхилення від прив’язки та викликало занепокоєння щодо цілісності стейблкоїну.
У оновленні, яке було оприлюднено, команда повідомила, що зловмисник отримав несанкціонований доступ до інфраструктури та випустив нові токени USR без забезпечення. Смартконтракти були швидко призупинені, а приблизно 9 млн USR, що належали зловмиснику, були спалені.
Resolv зазначив, що його базове забезпечення не було безпосередньо скомпрометовано. Також єдиною підтвердженою втратою на даний момент є приблизно 0,5 млн доларів США у виплатах, оброблених до призупинення.
Експлойт збільшує пропозицію USR, а не виводить кошти
На відміну від типових DeFi-атак, спрямованих на виведення коштів протоколу, інцидент із Resolv стосується інфляції пропозиції.
До інциденту в обігу перебувало близько 102 млн USR. Після експлуатації додатково було випущено приблизно 71 млн USR без забезпечення. Це ефективно зменшило забезпечення стейблкоїну.
Це спричинило значне збільшення загального пропонування порівняно з вартістю активів протоколу, змінивши співвідношення між пропонуванням та забезпеченням.
Команда сказала, що експлуатація була результатом компрометації приватного ключа, пов’язаного з доступом до інфраструктури, а не невдачею її базової колатеральної системи.
Припущення щодо дизайну, виявлені в процесі мінтингу
Хоча Resolv приписав порушення несанкціонованому доступу, цей інцидент звернув увагу на те, як була структурована повноваження щодо створення монет.
Експлойт став можливим через те, що привілейована роль могла авторизувати випуск токенів без достатньої он-чейн перевірки забезпечення.
Це означало, що після отримання доступу можна було створювати великі суми USR без перевірок, пов’язаних із депонованими активами.
Така архітектура залежить від довірених поза ланцюгових контрольних механізмів для встановлення обмежень — припущення, яке може зруйнуватися, якщо ці контролі будуть скомпрометовані.
USR втрачає прив’язку через падіння довіри ринку
Реакція ринку на експлойт була швидкою: USR втратив свою прив’язку до долара.
На момент написання цього тексту USR торгувався близько $0,19, що на 56% більше, ніж за 24 години, згідно з даними CoinMarketCap. Різке зниження відображає переприсвоєння ціни токена через збільшення пропозиції за межами його забезпечення.
Торгова активність також значно знизилася, оскільки обсяги зменшилися, коли користувачі закривають позиції або уникують експозиції під час процесу відновлення.
Зусилля з відновлення в процесі, оскільки виплати заплановані
Resolv сказав, що готується ввімкнути викуп для власників USR до інциденту, починаючи з користувачів у списку дозволених.
Протокол наразі тримає приблизно 141 мільйона доларів США в активах, і команда працює з партнерами, аналітичними компаніями та правоохоронними органами, щоб відстежити та зупинити незаконно випущені токени.
Користувачам рекомендується не торгувати USR або пов’язаними активами під час етапу відновлення. Діяльність після експлуатації може вплинути на результат процесу.
Цілісність стейблкоїна під питанням
Інцидент підкреслює більш загальний ризик у системах DeFi, де критичні заходи безпеки залежать від позаланцюгових контролів, а не від обов’язкових наланцюгових обмежень.
Хоча колатеральний пул Resolv залишається цілим, здатність випускати непідтримувані токени підірвала довіру до обліку системи.
По мірі розвитку подій ключовим викликом буде відновлення довіри до забезпечення USR та стабілізація його пропозиції.
Фінальний підсумок
- Експлойт Resolv збільшив пропозицію USR на $80 млн, не зменшуючи коллатерал, що виявив ризики, пов’язані з механізмами контролю поза ланцюгом.
- Різке відхилення USR від прив’язки свідчить про втрату ринкової впевненості, і відновлення тепер залежить від ізоляції незаконної пропозиції та відновлення цілісності забезпечення.