Використали 200 тисяч для отримання майже 1 мільярда, стабільні монети DeFi знову зазнали атаки

撰文：Eric，Foresight News

Біля 10:21 за київським часом сьогодні, Resolv Labs, яка використовує нейтральну стратегію Delta для випуску стабільної монети USR, зазнала хакерської атаки. Адреса, що починається з 0x04A2, використала 100 000 USDC для створення 50 мільйонів USR через протокол Resolv Labs.

Після розкриття інциденту ціна USR впала приблизно до 0,25 долара, а на момент написання статті відновилася до близько 0,8 долара. Ціна токена RESOLV також зазнала короткочасного падіння майже на 10%.

Згодом хакер повторив операцію, знову використавши 100 000 USDC для створення 30 мільйонів USR. Через значний розрив у цінності USR арбітражні трейдери швидко відреагували: багато кредитних платформ на Morpho, що підтримують застави у USR, wstUSR та інших, майже порожні, а Lista DAO на BNB Chain призупинила нові запити на позики.

Постраждали не лише ці кредитні протоколи. У структурі протоколу Resolv Labs користувачі також можуть створювати RLP — токен з більшою волатильністю та вищим доходом, але з обов’язком компенсувати збитки у разі втрат. Зараз у обігу близько 30 мільйонів RLP, найбільший власник — Stream Finance, що володіє понад 13 мільйонами RLP, з чистим ризиком близько 17 мільйонів доларів.

Так, можливо, що Stream Finance, який раніше зазнав збитків через xUSD, знову опиниться під ударом.

На момент написання статті хакер перетворив USR у USDC та USDT і продовжує купувати Ethereum, вже придбавши понад 10 000 монет. За допомогою 200 000 USDC він отримав активів на понад 20 мільйонів доларів. У період медвежиного ринку хакер знайшов «свій» монету з потенціалом для 100-кратного зростання.

Ще раз через «недбалість» зловмисники скористалися лазівкою

У жовтні минулого року різке падіння цін призвело до втрат застави у багатьох стабільних монет, випущених за допомогою нейтральної стратегії Delta, через автоматичне зниження левериджу (ADL). Проекти, що використовували альткоїни як активи для стратегій, зазнали ще більших втрат або навіть зникли.

Цього разу проти Resolv Labs, що також використовував схожу механіку для випуску USR, напали. Проєкт у квітні 2025 року оголосив про завершення раунду посівного фінансування у 10 мільйонів доларів за участю Cyber.Fund, Maven11 та Coinbase Ventures, а наприкінці травня — про запуск токена RESOLV.

Однак причина атаки полягала не у екстремальних ринкових умовах, а у недосконалості механізму створення USR.

Поки що жодна безпекова компанія або офіційні джерела не проаналізували причини інциденту. Аналіз YAM у DeFi-спільноті припустив, що злом, ймовірно, стався через контроль хакером SERVICE_ROLE — ролі, що використовується для налаштування параметрів при створенні USR.

За даними Grok, під час створення USR користувачі надсилають запити на ланцюгу, викликаючи функцію requestMint контракту з такими параметрами:

_depositTokenAddress — адреса токена, що вноситься;

_amount — кількість внесених токенів;

_minMintAmount — мінімальна кількість USR, яку очікує отримати користувач (захист від проскоку).

Після цього користувачі вносять USDC або USDT у контракт, а бекенд проекту контролює запити через SERVICE_ROLE, використовуючи Pyth — оракул для перевірки вартості активів. Потім викликаються функції completeMint або completeSwap, що визначають фактичну кількість створених USR.

Проблема у тому, що контракт повністю довіряє _mintAmount, отриманому від SERVICE_ROLE, вважаючи його підтвердженим через Pyth, без встановлення верхньої межі або додаткової перевірки оракулами. В результаті, контракт виконує mint(_mintAmount) без додаткової перевірки.

YAM підозрює, що хакер контролює роль SERVICE_ROLE, яка повинна бути під контролем проекту (можливо, через внутрішній збій оракула, внутрішнє зловживання або крадіжку ключів), і під час створення USR встановив _mintAmount на 50 мільйонів, що дозволило згенерувати 50 мільйонів USR за 100 000 USDC.

Загалом, Grok зробив висновок, що при проектуванні протоколу Resolv Labs не врахував можливість контролю хакером адреси (або контракту), що обробляє запити на створення, і не встановив обмеження на максимальну кількість створюваних токенів або додаткову перевірку через оракул. В результаті, довіряючи SERVICE_ROLE, протокол був вразливий.

Недостатня профілактика

Крім припущень щодо причин зламу, YAM зазначив, що команда проекту недостатньо підготувалася до кризової ситуації.

У Twitter YAM повідомив, що Resolv Labs лише через три години після першої атаки призупинив роботу протоколу, причому близько години витратили на збір підписів для мульти-підпису з чотирма підписами. YAM вважає, що для екстреного зупинення достатньо одного підпису, і що права слід розподілити між командою або довіреними зовнішніми операторами, щоб швидше реагувати на аномалії та враховувати різні часові пояси.

Хоча ідея про можливість зупинки протоколу одним підписом є досить радикальною, у реальності залучення кількох підписів з різних часових поясів може затримати швидке реагування у критичних ситуаціях. Впровадження довірених сторонніх моніторингових сервісів або інструментів з правами на екстрену зупинку — це урок, який залишила ця подія.

Атаки на DeFi-протоколи давно виходять за межі вразливостей у смарт-контрактах. Інцидент Resolv Labs нагадує про те, що безпека протоколу має базуватися на припущенні, що жоден елемент системи не є довіреним, і всі параметри мають проходити щонайменше двоє перевірок, навіть якщо вони належать команді або проекту.