Stablecoin Resolv Labs Depeg під час того, як зловмисник виготовляє мільйони токенів

Стабільна монета, прив’язана до криптопроекту Resolv Labs, втратила свою прив’язку до долара після навмисної експлуатації вразливості, яка дозволила зловмиснику створити мільйони токенів USR. Resolv Labs повідомила в X, що функції протоколу були тимчасово призупинені для запобігання подальшій шкоді, і команда працює над відновленням. У неділю зловмисник створив 50 мільйонів USR, ймовірно, шляхом внесення USDC на суму 100 000 доларів, що спричинило швидке зняття прив’язки та кризу ліквідності на ринку USR.

Подальші дані з блокчейну та повідомлення спостерігачів свідчать про додаткове створення ще 30 мільйонів USR, що посилило побоювання щодо логіки створення токенів у контракті та цілісності цінового механізму активу. Інцидент торкнувся кількох пулів ліквідності, при цьому торгівля USR значно нижча за цільовий рівень у $1, а ліквідність виснажена, оскільки учасники намагаються вийти у стабільні монети та інші активи.

Після того, як ринок сприйняв удар, D2 Finance оцінив, що функція створення токенів у контракті USR була зламаною — чи то через маніпуляції з оракулом, чи через злом поза ланцюгом підписувача, або через відсутність або неправильне застосування валідації між запитом на створення та завершенням операції. Ці події підкреслюють існуючі ризики у DeFi-токенах, що залежать від оракулів і програмованих правил створення, навіть при простих цілях прив’язки до долара.

Ключові висновки

Зловмисник створив 50 мільйонів USR, внесши USDC, що спричинило швидке зняття прив’язки до $1 і масовий вихід з протоколів.

Перші повідомлення вказують на другий раунд створення ще 30 мільйонів USR, що посилило навантаження на ліквідність і цінові просідання.

Зловмисник вивів USR у USDC і USDT, а потім у ETH, демонструючи агресивну швидку ліквідацію на різних платформах.

Resolv Labs призупинила функції протоколу для запобігання подальшій шкоді та працює над відновленням; інцидент підкреслює потенційні слабкості функцій створення та контролю ризиків між протоколами.

Дані ринку показують, що USR торгується приблизно у високих 80 центів, після різкого падіння до близько 2,5 центів на Curve Finance; ліквідність у пулі USR/USDC була серйозно порушена.

Що сталося у ланцюгу та чому це важливо

Моніторинг у ланцюгу та пости у соцмережах описують послідовність подій, що почалася з операції створення: зловмисник використав вразливість у контракті USR для генерації 50 мільйонів нових токенів. Зловмисник профінансував це внесенням USDC у контракт, фактично позичаючи цінність для створення нового запасу без реального забезпечення. Це спричинило різке падіння довіри до прив’язки USR і масові швидкі перекази, коли користувачі намагалися конвертувати USR у більш стабільні активи.

Аналітики D2 Finance описали функцію створення як «зламану» або недостатньо захищену. Вони назвали три можливі причини: злом оракула, що подає цінові дані; злом або компрометація поза ланцюгом підписувача, що авторизує створення; або відсутність або неправильне застосування валідації між запитом на створення і завершенням операції. Точний механізм може вплинути на швидкість відновлення протоколу і можливі заходи (включно з виправленнями контрактів або спалюванням токенів), що відновлять стабільність цін.

Цей інцидент відбувається на тлі ширшої ситуації, коли криптовалютні біржі та протоколи повідомляють про зменшення кількості зломів у лютому, хоча експлойти у ланцюгу та фішинг залишаються поширеними загрозами. Подія з USR підкреслює, що стабільні монети, прив’язані до долара і пов’язані з меншими проектами, можуть зазнавати значних коливань, якщо логіка створення вразлива або ліквідність ринку нестабільна.

Динаміка ринку та відновлення

За словами спостерігачів, зловмисник перемістив створені USR через кілька протоколів, обмінюючи їх на стабільні монети, такі як USDC і USDT, а потім конвертуючи у ETH. Вихідний потік відповідає шаблону «повного швидкості» виведення ліквідності у DeFi, коли зловмисник пріоритетно швидко виводить активи, щоб мінімізувати вплив просідань і розривів ліквідності.

Під час торгів USR ціни різко відхилилися від прив’язки у $1. В окремих платформах USR коштував усього близько 50 центів, що відображає обмеження ліквідності та просідання цін через протоколи. На ранніх етапах USR торгувався приблизно у високих 80 центів, приблизно на 13% нижче за прив’язку, а пул USR/USDC на Curve Finance зазнав різкого падіння до близько 2,5 центів. Обсяг торгів за 24 години становив кілька мільйонів доларів, що свідчить про напруження ліквідності та спроби трейдерів скористатися тимчасовими дисбалансами цін. Ліквідна криза поширилася й на інші платформи, що підтверджується невдачами транзакцій у ланцюгу, пов’язаними з терміновими ліквідаціями.

Resolv Labs відреагувала, призупинивши діяльність протоколу для запобігання подальшій експлуатації, що має стабілізувати ситуацію, поки слідчі та команда безпеки оцінюють подальші кроки. Спостерігачі зазначають, що швидкість і масштаб створення та виведення активів свідчать про спільну спробу зібрати цінність до повернення довіри, що є характерним для зломів у DeFi, орієнтованих на швидке вилучення ліквідності.

Громадськість у сфері DeFi буде стежити за тим, чи зможе Resolv Labs впровадити надійні виправлення механізму створення, відновити ліквідність і повернути довіру до USR. Інцидент піднімає питання про можливу наявність подібних вразливостей у контрактах інших проектів і наскільки стійкими є системи управління, оракули та архітектура підписувачів до складних атак.

Що слід спостерігати далі

Шляхи відновлення у складних випадках DeFi залежать від кількох факторів: виправлень безпеки контрактів, аудитів після інциденту та стійкості ліквідності на ключових платформах. Важливо стежити за тим, чи зможе Resolv Labs впровадити безпечне оновлення контракту USR, як проект вирішує питання оцінки та підтримки прив’язки, а також чи будуть застосовані зовнішні механізми підтримки ліквідності або управлінські заходи для стабілізації ринку.

Інвестори та користувачі також повинні слідкувати за оновленнями від дослідників безпеки та бірж, які можуть публікувати додаткові дані у ланцюгу, можливі часові рамки інциденту та рекомендації щодо зменшення ризиків для подібних токенів. Як і у випадках багатьох зломів у DeFi, межа між уразливостями у ланцюгу та рішеннями управління поза ланцюгом визначатиме швидкість і масштаб потенційного відновлення.

У найближчому майбутньому ринок, ймовірно, залишатиметься обережним щодо USR, поки команда не реалізує план відновлення і сторонні аудити не підтвердять виправлення логіки створення. Цей випадок стане нагадуванням, що навіть на перший погляд прості стабільні монети можуть нести значний ризик, якщо їхні основні економічні механізми не захищені належним чином, особливо в швидкозмінній та залежній від ліквідності екосистемі.