Stablecoin Resolv Labs Depeg під час того, як зловмисник виготовляє мільйони токенів

Стабільна монета, прив’язана до криптопроекту Resolv Labs, втратила свою прив’язку до долара після навмисної експлуатації вразливості, яка дозволила зловмиснику створити мільйони токенів USR. Resolv Labs повідомила на X, що функції протоколу були тимчасово призупинені для запобігання подальшій шкоді, і команда працює над відновленням. У неділю зловмисник створив 50 мільйонів USR, ймовірно, шляхом внесення USDC на суму 100 000 доларів, що спричинило швидке зняття прив’язки та кризу ліквідності на ринку USR.

Подальші дані з блокчейну та повідомлення спостерігачів свідчать про додаткове створення ще 30 мільйонів USR, що посилило побоювання щодо логіки створення токенів у контракті та цілісності цінового механізму активу. Інцидент торкнувся кількох пулів ліквідності, при цьому торгівля USR значно нижча за цільовий рівень у $1, а ліквідність виснажена, оскільки учасники намагаються вийти у стабількони та інші активи.

Після того, як ринок сприйняв удар, D2 Finance оцінив, що функція створення токенів у контракті USR була зламаною — чи то через маніпуляції з оракулом, чи через злом підписувача поза ланцюгом, чи через відсутність або неправильне застосування валідації між запитом на створення та завершенням операції. Ці події підкреслюють існуючі ризики у DeFi-токенах, що залежать від ончейнових оракулів і програмованих правил створення, навіть при простих цілях прив’язки до долара.

Ключові висновки

Зловмисник створив 50 мільйонів USR, внесши USDC, що спричинило швидке зняття прив’язки до $1 і масовий вихід з протоколів.

Перші повідомлення вказують на другий раунд створення ще 30 мільйонів USR, що посилило навантаження на ліквідність і ціновий скіп.

Злочинець вивів USR у USDC і USDT, а потім у ETH, демонструючи агресивну швидку ліквідацію на різних платформах.

Resolv Labs призупинила функції протоколу, щоб запобігти подальшій шкоді, і працює над відновленням; інцидент підкреслює потенційні слабкості функцій створення та контролю ризиків між протоколами.

Дані ринку показують, що USR торгується приблизно у високих 80 центів, після різкого падіння до близько 2,5 центів на Curve Finance; ліквідність у пулі USR/USDC значно знизилася.

Що сталося у ланцюгу та чому це важливо

Моніторинг у ланцюгу та пости у соцмережах описують послідовність подій, що почалася з створення токенів: зловмисник використав вразливість у контракті USR для генерації 50 мільйонів нових токенів. Злочинець профінансував це, вклавши USDC у контракт, фактично позичаючи цінність для створення нового запасу без реального забезпечення. Це спричинило різке падіння довіри до прив’язки USR і масові швидкі перекази, коли користувачі намагалися конвертувати USR у більш стабільні активи.

Аналітики D2 Finance описали функцію створення як «зламану» або недостатньо захищену. Вони назвали три можливі причини: злом оракула, що подає цінові дані; злом або компрометація підписувача поза ланцюгом, що авторизує створення; або відсутність або неправильне застосування валідації між запитом на створення і завершенням операції. Точний механізм може вплинути на швидкість відновлення протоколу і можливі заходи відновлення (включно з виправленнями контрактів або спалюванням токенів).

Цей інцидент відбувається на тлі ширшої ситуації, коли криптовалютні біржі та протоколи повідомляють про зменшення кількості зломів у лютому, хоча експлойти у ланцюгу та фішинг залишаються актуальними загрозами. Подія з USR підкреслює, що стабільні монети, прив’язані до долара і пов’язані з меншими проектами, можуть зазнавати значних коливань, якщо логіка створення вразлива або ліквідність ринку нестабільна.

Динаміка ринку та відновлення

За словами спостерігачів, зловмисник перемістив створені USR через кілька протоколів, обмінюючи їх на стабількони, такі як USDC і USDT, а потім конвертуючи у ETH. Вихідний потік відповідає сценарію «повного швидкості» виведення коштів у DeFi, коли зловмисник пріоритетно швидко знімає ліквідність, щоб мінімізувати вплив скіпу і розривів ліквідності на різних платформах.

Під час торгів USR ціни різко відхилилися від прив’язки у $1. У деяких платформах USR коштував усього близько 50 центів, що відображає обмеження ліквідності та скіп. На ранніх етапах USR торгувався приблизно у високих 80 центів, приблизно на 13% нижче за прив’язку, а пул USR/USDC на Curve Finance зазнав різкого падіння до близько 2,5 центів. Обсяг торгів за 24 години становив кілька мільйонів доларів, що свідчить про напруження ліквідності і спроби трейдерів скористатися тимчасовими ціновими дислокаціями. Криза ліквідності поширилася й на інші платформи, що підтверджується невдачами транзакцій у ланцюгу, пов’язаними з терміновими ліквідаціями.

Resolv Labs відреагувала, призупинивши діяльність протоколу, щоб запобігти подальшій експлуатації, і наразі команда та партнери з безпеки оцінюють подальші кроки. Спостерігачі зазначають, що швидкість і масштаб створення та виведення USR свідчать про спільну спробу зібрати цінність до повернення довіри, що є типовим сценарієм для зломів у DeFi, орієнтованих на швидке вилучення ліквідності.

Громадськість і спільнота DeFi уважно стежитимуть за тим, чи зможе Resolv Labs впровадити надійні виправлення механізму створення, відновити ліквідність і повернути довіру до USR. Інцидент піднімає питання про можливу наявність подібних вразливостей у інших проектах і наскільки стійкими є системи управління, оракули та архітектура підписувачів до складних атак.

Що слід спостерігати далі

Шляхи відновлення у складних випадках DeFi залежать від кількох факторів: безпечних оновлень контрактів, аудитів після інциденту та стійкості ліквідності на ключових майданчиках. Важливо стежити за тим, чи зможе Resolv Labs впровадити безпечне оновлення контракту USR, як проект вирішує питання оцінки і підтримки прив’язки, а також чи буде залучена зовнішня підтримка ліквідності або управлінські заходи для стабілізації ринку.

Інвестори та користувачі також повинні слідкувати за оновленнями від дослідників безпеки та бірж, які можуть публікувати додаткові дані у ланцюгу, можливі часові рамки інциденту та рекомендації щодо зменшення ризиків для подібних токенів. Як і у випадках багатьох експлойтів у DeFi, межа між вразливостями у ланцюгу та рішеннями управління поза ланцюгом визначатиме швидкість і масштаб потенційного відновлення.

У найближчому майбутньому ринок, ймовірно, залишатиметься обережним щодо USR, поки команда не реалізує план відновлення і не пройде аудит сторонніх фахівців для підтвердження виправлень у логіці створення. Цей випадок стане нагадуванням, що навіть на перший погляд прості стабільні монети можуть нести значний ризик, якщо їхні основні економічні механізми не захищені належним чином, особливо в швидкозмінній та ліквідністю залежній екосистемі.