Resolv Labs Піддалась атаці, DeFi проекти знову один раз експлуатовані

Resolv Labs, випускова компанія стабількоїна USR, яка використовує нейтральну стратегію Delta, зазнала атаки. Адреса, що починається з 0x04A2, створила 50 мільйонів USR через протокол Resolv Labs, використовуючи 100 000 USDC. Після розкриття інциденту ціна USR одразу впала приблизно до 0,25 долара, а потім відновилася до близько 0,80 долара на момент написання. Ціна токена RESOLV також знизилася майже на 10% за короткий час.

Згодом хакери використали подібний метод для створення 30 мільйонів USR за допомогою 100 000 USDC. Коли USR втратила значну цінність, спекулянти швидко діяли, і багато ринків кредитування на Morpho, що підтримують USR, wstUSR та інші заставні активи, майже вичерпалися. Lista DAO на мережі BNB також тимчасово припинила нові запити на позики.

Ці протоколи кредитування не є єдиними, що постраждали. Протокол Resolv Labs також дозволяє користувачам створювати токен RLP, що спричиняє більшу волатильність цін і вищий прибуток, але водночас несе юридичну відповідальність за збитки, що виникають із протоколу. Наразі близько 30 мільйонів токенів RLP у обігу, з яких Stream Finance володіє понад 13 мільйонами, що становить чистий ризик близько 17 мільйонів доларів. Так, Stream Finance, компанія, яка зазнала значних втрат через xUSD, можливо, незабаром зазнає ще одного удару. На момент написання, хакер конвертував USR у USDC і USDT і продовжує купувати Ethereum, вже придбавши понад 10 000. Використовуючи 200 000 USDC, він зібрав понад 20 мільйонів доларів активів, знайшовши «прибуткову валюту у 100 разів» на ринку ведмежого тренду. Ще раз, вразливість була використана через «недосконалість».

Різке падіння 11 жовтня минулого року спричинило втрату заставних активів у багатьох стабільних монетах, випущених за стратегією Delta-neutral, через ADL (Автоматичне зниження левериджу). Деякі проєкти, що використовують альткоїни як активи, зазнали ще більших втрат, а деякі зникли зовсім. Resolv Labs, цей раз атакований проєкт, також використовує подібний механізм для випуску USR. У квітні 2025 року він оголосив про завершення посівного раунду залучення 10 мільйонів доларів, очолюваного Cyber.Fund і Maven11, з участю Coinbase Ventures, а також запуск токена RESOLV наприкінці травня та на початку червня. Однак причина атаки на Resolv Labs полягає не у складних умовах ринку, а у тому, що механізм створення USR «недостатньо надійний». Поки що жодна компанія з безпеки або офіційний орган не проаналізували причини цієї кібератаки. Попередній аналіз спільноти DeFi YAM показує, що атака ймовірно сталася через те, що хакер отримав контроль над роллю SERVICE_ROLE, яка використовується у допоміжних компонентах протоколу для надання параметрів смарт-контракту. За аналізом Grok, коли користувач створює USR, він ініціює запит у блокчейні та викликає функцію requestMint контракту з такими параметрами: _depositTokenAddress: адреса, куди надходять токени; _amount: кількість для зберігання; _minMintAmount: мінімальна кількість USR, яку очікують отримати (запобіжний поріг). Після цього користувач надсилає USDC або USDT у контракт. Допоміжний модуль SERVICE_ROLE контролює запит, використовуючи оракул Pyth для перевірки вартості активів, і потім викликає функції completeMint або completeSwap для визначення фактичної кількості створених USR. Проблема полягає в тому, що контракт емісії цілком довіряє значенню mintAmount, яке надає SERVICE_ROLE, припускаючи, що це число було підтверджено поза ланцюгом через Pyth. Тому він не встановлює обмежень або перевірок через оракул у ланцюгу і безпосередньо виконує mint(_mintAmount). Згідно з цим, YAM підозрює, що хакер отримав контроль над роллю SERVICE_ROLE, яка повинна була контролюватися командою проєкту (можливо, через внутрішню помилку оракула, внутрішнє крадіжку або викрадення ключів), і безпосередньо встановив _mintAmount у 50 мільйонів під час створення фальшивих токенів, що й дозволило створити 50 мільйонів USR за 100 000 USDC. В кінці Grok робить висновок, що Resolv не врахував можливість того, що адреса (або контракт), що отримує запити на створення USR, може бути під контролем хакера під час розробки протоколу. Коли запит на створення USR надходить до кінцевого контракту, що створює USR, не встановлено обмежень на кількість, і контракт не використовує внутрішній оракул для вторинної перевірки. Він цілком довіряє всім параметрам, що надаються SERVICE_ROLE. Захисні заходи також були недостатніми. Крім припущень щодо причин кібератаки, YAM також вказує на недостатню підготовку команди щодо реагування на кризу. YAM у Твіттері зазначив, що Resolv Labs тимчасово припинила роботу протоколу на три години після початкової атаки, причому близько години було потрібно для збору чотирьох підписів для мультипідписних транзакцій. YAM вважає, що екстрене призупинення має бути достатнім з одним підписом, і цю функцію слід делегувати членам команди або довіреним зовнішнім операторам, щоб швидко реагувати на аномалії у ланцюгу. Це підвищить обізнаність про незвичайні ситуації, покращить швидкість зупинки та краще враховуватиме різні часові пояси. Хоча пропозиція призупинити протокол з одним підписом здається надмірною, запит кількох підписів із різних часових поясів для зупинки протоколу може спричинити значні затримки у критичних ситуаціях. Введення третьої довіреної сторони, яка постійно контролює поведінку у ланцюгу або використовує інструменти для екстреного зупинення, є важливим уроком із цієї ситуації. Атаки хакерів на DeFi-протоколи давно обмежувалися вразливостями смарт-контрактів. Інцидент Resolv Labs є попередженням для команд: безпека протоколу має бути максимально незалежною, і всі параметри, що використовуються, мають проходити щонайменше дві перевірки, навіть якщо вони надходять із серверів, якими керує сама команда.