Стабильный коин-протокол Resolv (Resolv Labs) 22 марта столкнулся с серьезным инцидентом в области информационной безопасности: его основной стабильный токен USR был атакован из-за уязвимости в механизме эмиссии, что привело к значительному расхождению цены с привязкой в 1 доллар. На момент публикации цена восстановилась примерно до 0,84 доллара, однако все еще явно отклоняется от целевой отметки.
Злоумышленник использовал 200 000 долларов для эмиссии ликвидности на сумму 50 миллионов долларов
Данные блокчейна показывают, что злоумышленник потратил всего около 100 000–200 000 долларов в USDC, что позволило ему успешно создать USR на сумму в десятки миллионов долларов, что свидетельствует о наличии серьезных недостатков в механизме верификации процесса эмиссии протокола. Значительное количество необеспеченных USR было быстро выпущено на рынок, что вызвало резкое падение цены с около 1 доллара до минимальных примерно 0,25 доллара, снижение более чем на 70%. После этого цена немного восстановилась, но до сих пор не достигла первоначальной привязки.
После получения USR злоумышленник быстро провел серию многоуровневых обменов внутри и вне протокола, конвертируя USR в другие стабильные активы и далее в ETH. Весь арбитражный цикл был завершен за очень короткое время, что принесло прибыль в миллионы долларов. Такой тип операций не редкость в истории DeFi: он основан на использовании уязвимостей протокола для «печати» необеспеченных активов и быстрого их вывода до того, как рынок полностью отреагирует.
Обнаружена возможная уязвимость в механизме эмиссии, команда Resolv признала факт атаки
Команда Resolv после обнаружения аномалии активировала экстренные меры и приостановила работу соответствующих контрактов, включая функции эмиссии и выкупа. В прошлом Resolv проходил аудит у нескольких организаций и имел программу по наградам за обнаружение уязвимостей, однако даже при этом была допущена критическая логическая ошибка, что подчеркивает, что даже после нескольких раундов аудита DeFi-протоколы могут оставаться уязвимыми в реальных условиях эксплуатации. На данный момент цена USR восстановилась примерно до 0,84 доллара, однако ликвидность и доверие рынка еще не полностью восстановлены.
Riba2534 считает, что ключ к атаке заключается в сбое в процессе эмиссии (mint). В нормальных условиях пользователь должен сначала внести активы (например, USDC), после чего система подтверждает залог и только тогда выпускает соответствующее количество USR. Однако уязвимость позволила нарушить этот этап: система ошибочно завершала эмиссию, даже не получив достаточного залога.
Злоумышленник начал с небольшой суммы, чтобы войти в процесс эмиссии протокола. Затем, используя логический дефект между этапами «mint» и «completeMint» (или аналогичными), он многократно инициировал эмиссию в рамках одной транзакции или за очень короткий промежуток времени. Поскольку система не проверяла фактическое поступление активов и не имела эффективных ограничений по количеству или защиты от повторных вызовов, злоумышленник смог масштабировать этот процесс и в итоге создать USR, значительно превышающий реальный залог.
Эта статья о том, что протокол стабильных монет Resolv подвергся атаке на механизм эмиссии! Цена USR отклонилась до 0,84 доллара и впервые появилась на Chain News ABMedia.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
