Унаслідок критичної вразливості в системі Resolv Labs зловмисник отримав можливість емісії понад $80 млн незабезпечених стейблкойнів USR. Ця подія призвела до різкої втрати прив’язки токена до долара США та обвалу до позначки 25 центів.
Згідно з аналітичним висновком експертів з кібербезпеки блокчейну компанії Cyvers, експлуатація уразливості відбулася через помилку логіки емісії. Хоча смартконтракти проходили аудит, механізм дозволяв неавторизованим особам створювати токени без належної перевірки права доступу.
Експлойт також збігся із періодом значного і не поясненого відтоку капіталу з протоколу. За даними BeInCrypto, загальна ринкова капіталізація USR знизилась із близько $400 млн на початку лютого до $100 млн за декілька тижнів до інциденту.
Resolv зупиняє протокол після падіння USR до $0,25
Таке стрімке скорочення ліквідності на 75% ставить під сумнів можливу причетність інсайдерів або великих інвесторів, які ймовірно розпродували позиції до фактичного краху.
Відповідно до ончейн-даних, зловмисник використав початкові $100 000 у стейблкойні USD Coin для активації вразливості.
Аналітики компанії PeckShield оцінюють обсяг штучно створених токенів USR у $80 млн. За їхньою інформацією, атака відбулася в два кроки: спершу емісія на $50 млн, потім ще на $30 млн.
Зловмисник одразу реалізував незабезпечені токени через ліквідні пули децентралізованих бірж, отримавши в ході цієї операції понад $24 млн в Ethereum.
Попри масштабний вплив на ринок, Resolv Labs стверджує, що їхній забезпечувальний пул «залишається повністю цілим» і жодного забезпечення втрачено не було. Компанія наголосила, що пріоритетом є захист легітимних користувачів від наслідків атаки.
Офіційні заяви повністю суперечать ринковій ситуації — роздрібні інвестори, що утримували USR, зазнали суттєвих збитків унаслідок падіння ціни на 74%. Всі функції протоколу наразі призупинено на невизначений термін.
Дослідники у сфері безпеки схиляються до думки, що інцидент зумовлений фундаментальними прорахунками архітектури, а не складними криптографічними атаками.
«Саме тут ризик стейблкойнів проявляється максимально. Сам факт аудиту не гарантує захисту, якщо в режимі реального часу не здійснюється контроль емісії та пропозиції. Коли протокол не відстежує всі дії, кричущі відхилення у створенні, ціноутворенні чи ліквідності залишаються непоміченими до моменту, коли наслідки вже не можна стримати. Тільки безперервний моніторинг і негайне блокування аномалій дозволяє локалізувати такі події до їх ескалації», – зазначає співзасновник і CEO Cyvers Дедді Лавід для BeInCrypto.
Блокчейн-аналітик Ендрю Хонг повідомив, що критична сервісна роль у протоколі закріплювалася за звичайною Externally Owned Address (EOA – зовнішньо керована адреса).
Замість застосування безпечного мультипідпису, протокол дозволяв обслуговування цієї криптовалютної адреси єдиним приватним ключем.
Платформа DeFi YieldsAndMore вказала, що для цієї адміністративної ролі не було впроваджено базових обмежень – зокрема відсутні максимально допустимі ліміти емісії та перевірки цінових оракулів.
На думку аналітиків, сукупність подій свідчить про ймовірну компрометацію приватного ключа або реалізацію схеми за участі інсайдера.
