استیبل کوین Resolv Labs با ۸۰ درصد سقوط همزمان با ضرب میلیون‌ها توکن USR بدون پشتوانه توسط مهاجم

روز یکشنبه، پروتکل امور مالی غیر متمرکز Resolv Labs فاش کرد که فرآیند ضرب استیبل کوین بومی آن مورد سوء استفاده قرار گرفته است.

مهاجم پس از دسترسی به کلیدهای خصوصی پروژه، 80 میلیون توکن USR بدون پشتوانه ایجاد کرد، Resolv Labs صبح روز دوشنبه اعلام کرد.

با ضرب این توکن‌ها، مهاجم سپس توکن‌های USR را با نسخه‌های استیک شده مبادله کرد و آن‌ها را با استیبل کوین متصل به دلار Circle مبادله کرد، قبل از اینکه از این دارایی‌ها برای خرید Ether استفاده کند.

در مجموع، آن‌ها با تقریباً 23 میلیون دلار Ether فرار کردند، طبق داده‌های درون زنجیره‌ای، و دارندگان توکن USR را در مخمصه رها کردند.

CoinGecko نشان می‌دهد که استیبل کوین USR اکنون زیر 0.4 دلار معامله می‌شود، که تا 0.02 دلار کاهش یافته است.

عملکردهای ضرب و بازخرید پروژه برای کاهش آسیب بیشتر خاموش شده‌اند، تیم Resolv گفت.

استیبل کوین Resolv Labs با استفاده از استراتژی‌های معاملاتی که موقعیت‌های لانگ و شورت را در دارایی‌های پرنوسان متعادل می‌کنند، پایداری خود را حفظ می‌کند.

هنگامی که کاربران Ether را برای ضرب USR واریز می‌کنند، پروتکل به طور همزمان موقعیت‌های شورت مساوی باز می‌کند — شرط‌بندی بر کاهش قیمت Ether — به طوری که صرف نظر از نوسانات دارایی، توکن USR متعادل است.

با این حال، آخرین سوء استفاده، ارتباط کمی با این مکانیسم داشت.

سوء استفاده از کلید خصوصی

سوء استفاده‌کننده در Resolv Labs توانست با استفاده از بین 100,000 تا 200,000 دلار وثیقه، 80 میلیون توکن USR ضرب کند، پس از به خطر انداختن کلیدهای خصوصی پروژه، طبق گفته Chainalysis.

آن‌ها توانستند منطق پروتکل را نادیده بگیرند پس از دسترسی به سرویس مدیریت کلید Resolv در Amazon Web Services.

کلیدهای خصوصی یک جزء حیاتی قرارداد هوشمند هستند، زیرا به دارندگان اجازه می‌دهند اقداماتی که می‌خواهند انجام دهند، مانند ضرب میلیون‌ها توکن خاص.

قرارداد ضرب هیچ اوراکل یا بررسی حداکثر ضرب برای جلوگیری از این اقدام نداشت، به گفته بنیان‌گذار مشترک Herd، مرورگر درون زنجیره‌ای مبتنی بر هوش مصنوعی، Andrew Whong.

قابلیت همکاری میان زنجیره‌ای ضربه می‌زند

Resolv Labs و دارندگان USR تنها قربانیان سوء استفاده نبودند.

پروتکل‌های مختلفی که استیبل کوین را یکپارچه کرده بودند نیز به شدت آسیب دیدند، به ویژه آن‌هایی که از مدل کیوریتور برای ایجاد بازده برای کاربران خود استفاده می‌کردند.

Morpho Labs، یک پروتکل وام‌دهی که از مدل کیوریتور استفاده می‌کند، مثال بارزی از نحوه گسترش سوء استفاده‌هایی مانند Resolv در سراسر دیفای ارائه کرد.

پروتکل Morpho به مدیران شخص ثالث اجازه می‌دهد استخرهای وام خود را سفارشی کنند و پارامترهای امنیتی و لیست توکن‌های خود را تعیین کنند. این مدیران کیوریتور نامیده می‌شوند.

ریسک بر عهده کیوریتورهای این استخرها است تا Morpho، در صورت بروز مشکل.

"می‌خواهم تکرار کنم که هیچ آسیب‌پذیری در قراردادهای Morpho وجود ندارد. آن‌ها امن هستند و همانطور که در نظر گرفته شده عمل می‌کنند،" Merlin Egalite، یکی از بنیان‌گذاران Morpo، روز دوشنبه گفت.

"برای راهنمایی در مورد خزانه‌هایی که ممکن است در معرض USR یا دارایی‌های مرتبط با Resolv باشند، توصیه می‌کنیم از ارتباطات کیوریتور مربوطه پیروی کنید."

Gauntlet، Re7 Labs، kpk و 9summits کیوریتورهای Morpho بودند که استخرهای سفارشی شده — به نام خزانه — با قرار گرفتن در معرض USR ایجاد کرده بودند.

در برخی موارد، این کیوریتورها خدمات نقدینگی خودکار داشتند که ساعت‌ها پس از سوء استفاده به ارائه نقدینگی به خزانه‌های USR خود ادامه دادند و آسیب‌ها را بیشتر تشدید کردند، بنیان‌گذار Chaos Labs، Omer Goldberg، گفت.

در مجموع، تقریباً 15 خزانه با بیش از 10,000 دلار نقدینگی تحت تأثیر سوء استفاده Resolv قرار گرفتند، Paul Frambot، بنیان‌گذار مشترک Morpho، گفت.

"کیوریتورها به سرعت به یک موقعیت چالش برانگیز پاسخ داده‌اند و تیم Morpho در صورت نیاز کمک کرده است،" او گفت.

"با این حال، ما به کار با کیوریتورها برای بهبود بیشتر ابزارهای موجود ادامه خواهیم داد تا به آن‌ها در رویدادهای آینده کمک کنیم."

Liam Kelly خبرنگار دیفای DL News مستقر در برلین است. نکته‌ای دارید؟ با ما تماس بگیرید در liam@dlnews.com.