Stablecoin của Resolv Labs giảm mạnh 80% khi kẻ tấn công đúc hàng triệu token USR không có tài sản đảm bảo

Vào Chủ nhật, giao thức tài chính phi tập trung Resolv Labs đã tiết lộ rằng quy trình đúc stablecoin gốc của họ đã bị khai thác.

Kẻ tấn công đã tạo ra 80 triệu token USR không có tài sản thế chấp sau khi có được quyền truy cập vào khóa riêng tư của dự án, Resolv Labs cho biết vào sáng thứ Hai.

Với những token được đúc đó, kẻ tấn công sau đó đã swap token USR sang phiên bản staking và swap chúng lấy stablecoin gắn với đô la của Circle trước khi sử dụng những tài sản đó để mua Ether.

Tổng cộng, họ đã lấy đi khoảng 23 triệu đô la bằng Ether, theo dữ liệu onchain, và để lại những người nắm giữ token USR trong tình thế khó khăn.

CoinGecko cho thấy rằng stablecoin USR hiện đang giao dịch dưới $0,4, đã giảm xuống thấp nhất là $0,02.

Các chức năng đúc và rút của dự án đã bị tắt để giảm thiểu thiệt hại thêm, nhóm Resolv cho biết.

Stablecoin của Resolv Labs duy trì tỷ giá gắn bằng cách tận dụng các chiến lược giao dịch cân bằng các vị thế long và short trên các tài sản biến động.

Khi người dùng nạp Ether để đúc USR, giao thức đồng thời mở các vị thế short tương đương — đặt cược rằng giá của Ether sẽ giảm — để cho dù tài sản có biến động như thế nào thì token USR vẫn được cân bằng.

Tuy nhiên, vụ khai thác gần đây này không liên quan nhiều đến cơ chế này.

Khai thác khóa riêng tư

Kẻ khai thác tại Resolv Labs đã có thể đúc 80 triệu token USR bằng cách sử dụng tài sản thế chấp từ $100,000 đến $200,000 sau khi xâm phạm khóa riêng tư của dự án, theo Chainalysis.

Họ đã có thể ghi đè logic của giao thức sau khi truy cập vào dịch vụ quản lý khóa của Resolv trên Amazon Web Services.

Khóa riêng tư là một thành phần quan trọng của hợp đồng thông minh, vì chúng cho phép người nắm giữ thực hiện các hành động họ muốn, chẳng hạn như đúc hàng triệu một token cụ thể.

Hợp đồng đúc không có oracle hoặc kiểm tra đúc tối đa để ngăn chặn hành động này, theo đồng sáng lập của trình khám phá onchain hỗ trợ AI Herd, Andrew Whong.

Khả năng tương tác phản công

Resolv Labs và những người nắm giữ USR không phải là nạn nhân duy nhất của vụ khai thác.

Các giao thức khác nhau đã tích hợp stablecoin này cũng bị ảnh hưởng nặng nề, đặc biệt là những giao thức sử dụng mô hình curator để tạo lợi nhuận cho người dùng của họ.

Morpho Labs, một giao thức cho vay sử dụng mô hình curator, đã cung cấp một ví dụ rõ ràng về cách các vụ khai thác như của Resolv có thể lan rộng khắp DeFi.

Giao thức Morpho cho phép các nhà quản lý của bên thứ ba tùy chỉnh các pool cho vay của họ và thiết lập các thông số bảo mật và danh sách token của riêng họ. Những nhà quản lý này được gọi là curator.

Rủi ro rơi vào các curator của những pool này chứ không phải Morpho, nếu có điều gì đó xảy ra sai.

"Tôi muốn nhấn mạnh lại rằng không có lỗ hổng nào trong các hợp đồng Morpho. Chúng an toàn và hoạt động như dự định," Merlin Egalite, một đồng sáng lập tại Morpho, cho biết vào thứ Hai.

"Để được hướng dẫn về các vault có thể có exposure với USR hoặc các tài sản liên quan đến Resolv, chúng tôi khuyến nghị theo dõi các thông tin liên lạc của curator liên quan."

Gauntlet, Re7 Labs, kpk và 9summits là các curator của Morpho đã tạo ra các pool tùy chỉnh — được gọi là vault — có exposure với USR.

Trong một số trường hợp, các curator này đã có các dịch vụ thanh khoản tự động tiếp tục cung cấp thanh khoản cho các vault USR của họ nhiều giờ sau vụ khai thác, làm tăng thêm thiệt hại, người sáng lập Chaos Labs, Omer Goldberg, cho biết.

Tổng cộng, khoảng 15 vault với hơn $10,000 thanh khoản đã bị ảnh hưởng bởi vụ khai thác Resolv, đồng sáng lập Morpho Paul Frambot cho biết.

"Các curator đã phản ứng nhanh chóng với tình huống khó khăn này với sự hỗ trợ của nhóm Morpho khi cần thiết," ông nói.

"Điều đó nói lên rằng, chúng tôi sẽ tiếp tục làm việc với các curator để cải thiện hơn nữa các công cụ có sẵn để giúp họ vượt qua các sự kiện trong tương lai."

Liam Kelly là phóng viên DeFi tại Berlin của DL News. Có thông tin? Liên hệ tại liam@dlnews.com.