Ведмежий ринок «класичний сценарій» знову розігрується, розбір Resolv Labs «блискавичного грабежу» та події відчеплення USR

Стаття: Глендон, Techub News

22 березня, компанія Resolv Labs, розробник DeFi-протоколу для створення децентралізованих стабільних монет з механізмом заробітку, зазнала хакерської атаки. Дані блокчейну показують, що з адреси, що починається на «0 x04 A2», було внесено всього 100 000 USDC, після чого через вразливість протоколу було згенеровано 50 мільйонів USR стабільних монет. Після цього зловмисник повторив операцію, використовуючи ще 100 000 USDC для створення 30 мільйонів USR. У цей час офіційний акаунт Resolv Labs у Твіттері підтвердив, що протокол був атакований, і команда призупинила всі функції для відновлення.

Однак було вже запізно. Загалом понад 80 мільйонів USR без забезпечення активами швидко потрапили на ринок, викликавши швидке знецінення стабільної монети. Через зникнення ліквідності на ринку виникли серйозні просідання цін під час торгів, що ще більше посилило падіння USR. За даними CoinMarketCap, USR один раз знецінився до приблизно 0,06 долара, з падінням понад 94% (зараз USR відновився до близько 0,32 долара, але все ще залишається у стані «серйозного знецінення»). Варто зазначити, що шлях зняття коштів зловмисником був чітким і швидким — весь процес зайняв кілька годин. Після незаконного створення USR він конвертував їх у wstUSR і продав на децентралізованих біржах Curve, Uniswap тощо, отримуючи USDC і USDT, а потім обмінював ці стабільні монети на приблизно 25 мільйонів доларів у Ethereum, успішно здійснивши «швидкий грабіж» з відмиванням прибутку.

У нинішніх умовах низької активності ринку атака Resolv Labs стала ще одним ударом по довірі галузі і навіть була названою у криптоспільноті «класичним сценарієм» ринкової кризи. Причиною атаки знову стала та сама «проблема у дизайні механізму емісії монет».

Витік вразливості: потрійне порушення механізму емісії

Перш за все, слід зазначити, що система стабільних монет Resolv побудована за двошаровою структурою. USR — це стабільна монета, прив’язана до долара у співвідношенні 1:1, яку можна створити, внесши ETH або BTC. Вона використовує Delta-нейтральну стратегію, дозволяючи протоколу відкривати рівноцінні короткі позиції на ETH/BTC для нейтралізації цінових коливань і підтримки стабільності USR. Власники USR можуть отримувати частину прибутку протоколу і брати участь у доходах через DeFi-протоколи, такі як Pendle або Sommelier.

Крім того, Resolv запровадив токен Resolv Liquidity Provider Token (RLP), який виконує роль «страхового пулу» для поглинання потенційних збитків від хеджування, таких як ліквідації, просідання цін і коливання ставок. Під час атаки RLP також постраждав: за даними CoinGecko, його ціна знизилася з 1,38 до 0,23 долара, що становить понад 83%. Зараз RLP відновився до 0,98 долара.

Як же Resolv Labs потрапив під хакерську атаку? За аналізом безпекових компаній PeckShield і кількох аналітиків, причина криється у серйозних дефектах у контролі доступу та механізмі перевірки дозволів у контракті емісії. По-перше, — у критичній уразливості контролю доступу. У нормальному режимі, щоб створити USR, користувач має внести заставу, і кількість монет має відповідати вартості застави у співвідношенні 1:1. Однак зловмисник, використовуючи привілей SERVICE_ROLE, обійшов цю перевірку і встановив кількість монет у астрономічній кількості, що дозволило йому створити 80 мільйонів USR, використовуючи лише 200 тисяч доларів USDC — «надвисокий кредитний леверидж».

Ця вразливість полягає у тому, що роль SERVICE_ROLE має безпосереднє право визначати кількість емісії, що є «суперпривілеєм». Оскільки протокол не використовує мультипідпис або децентралізовану мережу підписантів, а покладається на одного або кількох підписантів, при витоку або компрометації ключів система миттєво стає вразливою.

По-друге, відсутність механізму перевірки суми на блокчейні — це серйозна безпекова проблема. Контракт емісії Resolv повністю довіряє зовнішнім підписантам, що визначають кількість створених монет. Там відсутні обмеження на суму (наприклад, максимум 1 мільйон USR за транзакцію) і не використовуються оракули для реального порівняння вартості застави та кількості емісії. Це означає, що якщо зловмисник контролює підписантів або отримує відповідні права, він може без обмежень створювати USR, не враховуючи достатність застави. Саме ця відсутність перевірок і стала відкритими дверима для атаки.

По-третє, потенційний ризик у застосуванні Delta-нейтральної стратегії. Хоча Resolv використовує цю стратегію для випуску USR, вона сама по собі має слабкі місця. Ця стратегія тісно пов’язана з зовнішніми підписантами і оракулами, і саме ці точки є найуразливішими для атак. Якщо підписант або оракул зламається або буде обманутий, вся система емісії може опинитися у хаосі.

У ніч на сьогодні, офіційний акаунт Resolv опублікував пояснення причин атаки. Виявилося, що вона сталася через несанкціонований доступ третіх осіб, включаючи цілеспрямовані атаки на інфраструктуру та злом мережі. Зловмисник, використовуючи викрадені приватні ключі, отримав несанкціонований доступ до інфраструктури Resolv і зумів незаконно створити близько 80 мільйонів доларів USR без застави.

Також, Resolv повідомив, що близько 9 мільйонів USR вже було знищено. Загальний обсяг USR на ринку складає 102 мільйони, з яких 71 мільйон — новостворені незаконно. Для мінімізації збитків і відновлення порядку команда готується сьогодні активувати функцію викупу USR, що існувала до атаки, і почати з користувачів, внесених до білого списку. Водночас наголошується, що базові заставні активи Resolv не постраждали, і команда працює над відслідковуванням і контролем незаконно створених USR та інших пошкоджених активів.

Це — перша частина заходів Resolv для допомоги постраждалим користувачам і відновлення довіри. Очевидно, що компанія намагається мінімізувати збитки і повернути втрачені кошти. Однак ця подія вже спричинила ланцюгову реакцію у галузі.

Ланцюгова реакція та уроки

Найбільш очевидний наслідок — різке знецінення USR і падіння ціни власного токена RESOLV. RESOLV один раз впав більш ніж на 16%, до 0,052 долара. Також постраждали багато DeFi-протоколів. Ліквідність USR/USDC у Curve Finance миттєво зруйнувалася; у кредитному ринку Morpho, де USR і wstUSR використовуються як застави, майже всі позиції були ліквідовані, і багато користувачів ризикували примусовим закриттям через знецінення USR.

Проте співзасновник Morpho, Пол Фрамбот, у Твіттері зазначив, що вплив атаки Resolv на Morpho не був настільки масштабним, як поширюють чутки. Вплив стосується переважно USR і активів, таких як RPL, а також кредитних позицій, що їх використовують як заставу. У близько 500 сейфів Morpho з депозитами понад 10 000 доларів ризик був значним лише у 15 з них.

Крім того, інші протоколи, інтегровані з Resolv, змушені були вжити екстрених заходів для захисту своїх користувачів. Наприклад, протокол управління ризиками DeFi Gauntlet підкреслив, що їх платформа не має позицій у USR або RLP, і їхні сейфи не постраждали. Вони ведуть переговори з Resolv і розробляють компенсаційні механізми для залишку коштів.

Протокол Fluid повідомив, що отримав короткостроковий кредит для покриття всіх непогашених боргів, щоб забезпечити безпеку активів користувачів. Засновник Aave, Стані.eth, у Твіттері заявив, що їхній протокол не має відкритих позицій у стабільній монеті USR Resolv. Resolv виступає лише як постачальник ліквідності, і їхні активи залишаються у безпеці. Інші протоколи, що використовують USR для доходу (наприклад, Pendle, Sommelier), зазнали опосередкованого впливу через зниження доходності та вартості активів у їхніх пулах.

Це ще раз підкреслює жорстку реальність DeFi-екосистеми: провал одного протоколу може спричинити ланцюгову реакцію «зсуву» кількох протоколів, особливо коли активи широко використовуються як застави. Навіть якщо ці протоколи не зазнали безпосередніх атак, вони можуть постраждати через репутаційні та бізнес-наслідки.

Крім того, під час атаки зловмисник продав незаконно створені 80 мільйонів USR частинами на DEX, таких як Curve і Uniswap, що спричинило різкі коливання цін. Знецінення USR призвело до «несподіваних втрат» для постачальників ліквідності, оскільки їхні активи майже цілком складалися з знеціненої USR, що спричинило суттєві капітальні збитки. Це виявило структурні слабкості нових пулів активів із низьким обсягом торгів або недостатньою глибиною ринку, що не здатні поглинути великі обсяги продажів і швидко викликають цінові збої та системний ризик.

Загалом, подія Resolv Labs — це не просто випадок безпеки окремого проекту, а ще один удар по довірі інвесторів у криптовалютний ринок і потенційний поштовх до нової кризи довіри до стабільних монет. Відсутність стабільності та безпеки алгоритмічних і заробіткових стабільних монет може підірвати основи всьої екосистеми, викликаючи сумніви у їхній довгостроковій життєздатності. Це може спонукати ризик-небезпечних інвесторів виходити з високоризикових DeFi-протоколів і переводити кошти у більш стабільні активи або хеджувати ризики.

Ця подія стала тривожним дзвінком для галузі, особливо в умовах нинішнього медвежого ринку і низької ризикової активності. Виявлені проблеми — надмірна залежність від зовнішніх підписантів і відсутність внутрішніх перевірок — вважаються «зломом моделі довіри». Це також підказка для інших протоколів: слід впроваджувати механізми мультипідпису, використовувати децентралізовані оракули (Chainlink, Pyth) для перевірки даних у реальному часі і автоматичні системи аварійного відключення для підвищення безпеки.

Ще один важливий урок — реагування на інциденти. Вночі, з 10 до 12 години, команда Resolv лише через кілька годин після атаки призупинила протокол, що свідчить про недостатню швидкість реагування. В майбутньому проектам слід створювати швидкі та автоматизовані системи кризового реагування.

Підсумки

На момент написання статті Resolv Labs ще не оприлюднила повний план компенсацій. Постраждалі користувачі, які зберігали USR або зазнали збитків через знецінення, а також власники RLP, що втратили частину активів через зниження вартості страхового пулу, поки що не отримали чітких компенсаційних рішень. Ринок уважно стежить за подальшими діями компанії щодо відшкодування збитків.

Ця атака змушує задуматися: чи є «децентралізація» у DeFi технологічною революцією чи переосмисленням довіри? Коли баланс між інноваціями і безпекою порушується, можливо, є сенс повернутися до базових принципів «мінімальної довіри», щоб знайти стійке співвідношення між ефективністю і ризиками.