Обменяли 200 тысяч на почти 100 миллионов, стейблкоины DeFi снова подверглись атаке

null

Автор: Эрик, Foresight News

Около 10:21 по пекинскому времени сегодня Resolv Labs, использовавшая нейтральную стратегию Delta для выпуска стейблкоина USR, была взломана. Адреса, начинающиеся с 0x04A2, отчеканили 50 миллионов USR по протоколу Resolv Labs с 100 000 USDC.

Когда инцидент стал известен, стоимость USR упала примерно до $0,25 и восстановилась примерно до $0,8 на момент написания. Цена токена RESOLV также показала максимальное падение почти на 10% за короткое время.

После этого хакер придумал тот же метод и снова отчеканил 30 миллионов долларов США на 100 000 долларов США. При значительном снижении USR арбитражные трейдеры также действовали быстро, многие рынки кредитования на Morpho, поддерживающие USR, wstUSR и другие в качестве залога, были практически опустошены, а Lista DAO на BNB Chain также приостановил новые запросы на заимствования.

Затрагиваются не только эти кредитные соглашения. В дизайне протокола Resolv Labs пользователи также могут выпускать RLP-токен с более сильными колебаниями цены и более высокой доходностью, но при этом должны нести компенсацию в случае потерь протокола. В настоящее время в обращении находится почти 30 миллионов RLP-токенов, при этом крупнейший держатель, Stream Finance, владеет более 13 миллионами RLP с чистой экспозицией примерно $17 миллионов.

Верно, Stream Finance, который однажды пострадал от xUSD, может снова пострадать.

На момент написания статьи хакер конвертировал USR в USDC и USDT и продолжает покупать Ethereum, на данный момент их более 10 000. Используя 200 000 USDC для вывода активов на сумму более 20 миллионов долларов, хакер обнаружил «монету 100x», принадлежащую TA во время медвежьего рынка.

Снова его эксплуатировали за «недостаток строгости»

Резкое падение 11 октября прошлого года привело к потере залога многих стейблкоинов, выпущенных с дельта-нейтральной стратегией, из-за ADL (автоматического снижения долговостей). Некоторые активы, использующие альткоины как стратегию исполнения, даже понесли серьёзные убытки в проектах или ушли из игры.

В апреле 2025 года проект объявил о завершении стартового раунда финансирования на сумму $10 миллионов под руководством Cyber.Fund и Maven11 при участии Coinbase Ventures, а токен RESOLV был запущен в конце мая и начале июня.

Однако причина атаки на Resolv Labs — не экстремальный рынок, а «недостаток строгости» в конструкции механизма чеканки USR.

В настоящее время нет ни охранной компании, ни официального анализа причин этого инцидента взлома. Сообщество DeFi YAM изначально пришло к выводу на основе анализа, что атака, вероятно, вызвана хакерами, контролирующими SERVICE_ROLE используемый для задания параметров для создания контрактов на сервере протокола.

Согласно анализу Grok, при создании USR пользователи инициируют запрос в цепочке и вызывают функцию requestMint контракта, с параметрами, включающими:

_depositTokenAddress: Адрес внесенного токена;

_amount: Внесенное количество;

_minMintAmount: Минимальное количество USR (противоскользящей точки), ожидаемое получение.

После этого пользователь вносит USDC или USDT в контракт, а бэкенд проекта SERVICE_ROLE отслеживает запрос, использует оракул Pyth для проверки стоимости внесенных активов, а затем вызывает функцию completeMint или completeSwap для определения фактического количества отчеканного USR.

Проблема в том, что контракт на минтинг полностью доверяет _mintAmount, предоставленному SERVICE_ROLE, полагая, что число проверено Pyth вне чейна, поэтому нет верхнего предела и нет верификации оракула в цепочке, и mint(_mintAmount выполняется напрямую.

Исходя из этого, YAM подозревал, что хакер взял под контроль SERVICE_ROLE, который должен был контролироваться командой проекта (возможно, из-за потери контроля над внутренним оракулом, самоукраждения охранника или кражи ключа), и напрямую установил _mintAmount на 50 миллионов во время чеканки, реализовав атаку с чеканкой 50 миллионов долларов США с 100 000 USDC.

В конечном итоге Grok пришёл к выводу, что Resolv не рассматривал возможность того, что адрес (или контракт), используемый для получения запросов на выпуск пользователей, будет контролироваться хакерами при разработке протокола, и когда запрос на выпуск USR был подан контракту, который выпускал USR, он не устанавливал максимальную сумму чеканки и не позволял контракту использовать on-chain oracle для вторичной проверки, напрямую доверяя всем параметрам, предоставленным SERVICE_ROLE.

Профилактика также отсутствует

Помимо спекуляций о причинах взлома, YAM также отметил недостаток подготовки команды проекта к решению кризиса.

YAM сообщил на X, что Resolv Labs приостановила работу протокола всего через 3 часа после завершения первой атаки хакера, с задержкой примерно в 1 час из-за сбора 4 подписей, необходимых для транзакций с мультиподписью. YAM считает, что экстренные паузы должны требовать только подписи, а разрешения должны назначаться членам команды или доверенным внешним операторам, насколько это возможно, что может повысить внимание к аномалиям в цепочке, увеличить вероятность быстрых пауз и лучше охватить разные часовые пояса.

Хотя предположение о приостановке одной подписи довольно агрессивно, для приостановки соглашения в случае чрезвычайной ситуации, которая может задержать крупные события, требуется несколько подписей в разных часовых поясах. Введение доверенной третьей стороны, которая постоянно отслеживает поведение блокчейна, или использование инструментов мониторинга с экстренной приостановкой протоколов — всё это «последствия» этого инцидента.

Атаки хакеров на DeFi-протоколы давно не ограничиваются уязвимостями контрактов, и инцидент с Resolv Labs служит предупреждением для участников проекта: предположение в плане безопасности протокола должно заключаться в том, что никому из них нельзя доверять, и все ссылки с параметрами должны быть проверены как минимум дважды, даже если бэкенд управляется непосредственной стороной проекта.