Медвежий рынок «классический сценарий» повторяется снова: анализ «молниеносного грабежа» Resolv Labs и события дезанкеринга USR

Статья: Глендон, Techub News

22 марта, разработчик децентрализованной стабильной монеты с механизмом начисления дохода в DeFi — Resolv Labs — подвергся хакерской атаке. По данным блокчейна, злоумышленник с адреса, начинающегося на «0 x04 A2», внес всего 100 000 USDC, после чего использовал уязвимость протокола для выпуска 50 миллионов USR — стабильной монеты. Затем злоумышленник повторил операцию, снова залив 100 000 USDC и получив 30 миллионов USR. В этот момент официальные аккаунты Resolv Labs подтвердили в Твиттере, что протокол был атакован, команда приостановила все функции и начала работу по восстановлению.

Однако было уже поздно. В течение короткого времени на рынок поступило около 80 миллионов USR без обеспечения активами, что привело к быстрому срыву привязки USR. В условиях дефицита ликвидности на рынке возникли серьезные проскальзывания при торговле, что еще больше ускорило падение USR. По данным CoinMarketCap, USR временно отошел от доллара примерно до 0,06 USD, снизившись более чем на 94% (сейчас USR восстановился до около 0,32 USD, но все еще остается в состоянии «сильного отклонения от привязки»). Стоит отметить, что злоумышленник быстро и четко реализовал схему вывода средств: он обменял нелегально выпущенные USR на wstUSR, затем на децентрализованных биржах Curve, Uniswap и других продал их за USDC и USDT, после чего обменял эти стабильные монеты на около 25 миллионов долларов в эфире, успешно «отмыв» прибыль от атаки.

В условиях текущего слабого рынка атака Resolv Labs вновь подорвала доверие к отрасли и стала очередным «классическим сценарием» для медвежьего рынка. Причина атаки — та же старая проблема — «недостатки в дизайне механизма эмиссии монет».

Истоки уязвимости: тройное нарушение механизма эмиссии

Прежде всего, необходимо понять, что система стабильных монет Resolv использует двухуровневую архитектуру. USR — это стабильная монета, привязанная к доллару в соотношении 1:1. Пользователи могут создавать USR, внося ETH или BTC в залог. В основе лежит стратегия Delta-neutral, которая позволяет протоколу открывать эквивалентные короткие позиции по ETH/BTC для хеджирования ценовых рисков, что обеспечивает стабильность USR. Владельцы USR могут получать часть прибыли протокола и участвовать в доходных пулах таких DeFi-проектов, как Pendle и Sommelier.

Кроме того, Resolv внедрила токен Resolv Liquidity Provider Token (RLP), который служит «страховым фондом» системы, поглощая потенциальные убытки от стратегий хеджирования, связанные с ликвидациями, проскальзываниями и колебаниями ставок. В ходе атаки RLP также пострадал: по данным CoinGecko, цена RLP упала с 1,38 до 0,23 USD — более чем на 83%. Сейчас RLP восстановился до 0,98 USD.

Как же Resolv Labs удалось подвергнуться атаке? Аналитики из PeckShield и другие эксперты сходятся во мнении, что корень проблемы — серьезные недостатки в контроле прав доступа и механизмах проверки в контракте эмиссии. Во-первых, — критическая уязвимость в управлении правами. В обычных условиях, чтобы создать USR, пользователь должен заложить соответствующий актив, а количество USR должно быть пропорционально стоимости залога 1:1. Однако злоумышленник, обладая правом SERVICE_ROLE, обошел проверку стоимости залога и напрямую установил астрономическое число эмиссии, создав 80 миллионов USR, потратив всего 200 тысяч долларов USDC — «сверхлеверидж».

Эта уязвимость связана с тем, что право SERVICE_ROLE дает возможность напрямую управлять количеством эмитируемых монет — так называемый «суперправо». Поскольку протокол не использует мультиподписи или децентрализованную сеть подписантов, а полагается на одного или нескольких подписантов, при утечке или взломе ключей система мгновенно оказывается под угрозой.

Во-вторых, — отсутствие механизма проверки суммы на блокчейне. Контракт эмиссии полностью доверяет данным, предоставленным оффчейн-подписантами, не устанавливает лимиты (например, максимум 1 миллион USR за транзакцию) и не использует оракулы для проверки стоимости залога и количества эмиссии в реальном времени. Это означает, что при контроле оффчейн-подписантов или получении соответствующих прав злоумышленник может произвольно создавать USR без учета достаточности залога. Именно эта недоработка позволила атаке состояться.

В-третьих, — потенциальные риски стратегии Delta-neutral. Использование этой стратегии для выпуска USR показывает слабые стороны. Она сильно связана с оффчейн-подписантами и оракулами, что создает уязвимые точки. В случае проблем с подписантами или оракулами вся система эмиссии может выйти из-под контроля.

Сегодня утром команда Resolv Labs опубликовала объяснение причин атаки. По их словам, атака произошла из-за несанкционированного доступа третьих лиц, включающего взлом инфраструктуры и сетевые атаки. Злоумышленник использовал украденный приватный ключ для несанкционированного доступа к инфраструктуре Resolv, что привело к нелегальному созданию около 80 миллионов долларов USR без залога.

Также, Resolv сообщил, что около 9 миллионов USR, принадлежащих злоумышленнику, были уничтожены. В настоящее время в обращении находятся 102 миллиона USR, существовавшие до атаки, и около 71 миллиона нелегально созданных монет. Для минимизации потерь и восстановления порядка команда планирует сегодня запустить функцию выкупа USR, начиная с пользователей, внесенных в белый список. Также подчеркивается, что базовые залоговые активы Resolv не пострадали, ведется отслеживание и попытки изъять нелегально созданные USR и другие пострадавшие активы.

Это — предварительные меры по компенсации пострадавших пользователей, демонстрирующие усилия компании по минимизации ущерба и возврату средств. Однако событие уже вызвало цепную реакцию в отрасли.

Последствия и уроки

Самое очевидное — сильное отклонение USR от привязки и падение стоимости токена RESOLV, который упал более чем на 16%, до 0,052 USD. Также пострадали многие DeFi-протоколы: ликвидность USR/USDC на Curve Finance резко рухнула; кредитные рынки Morpho, где USR и wstUSR использовались в качестве залога, практически опустели, многие пользователи оказались под угрозой принудительной ликвидации из-за отклонения USR.

Однако соучредитель Morpho Пол Фрамбот в Твиттере заявил, что влияние атаки Resolv на Morpho не столь масштабное, как распространяется слухи. В основном пострадали USR, связанные активы (например, RPL) и кредитные рынки, использующие их в качестве залога. В примерно 500 хранилищах Morpho с депозитами свыше 10 000 долларов около 15 оказались под значительным риском.

Также, несмотря на то, что другие протоколы и партнеры, интегрированные с Resolv, не пострадали напрямую, они вынуждены были принять срочные меры для защиты своих пользователей. Например, протокол управления рисками Gauntlet подчеркнул, что их платформа не держит USR или RLP-позиции, и их хранилища не подвержены влиянию. Ведутся переговоры с Resolv, разрабатываются планы компенсации.

Протокол Fluid заявил, что у них есть краткосрочные кредиты, покрывающие текущие долги, чтобы обеспечить безопасность средств пользователей. Основатель Aave Стани.eth также отметил, что их протокол не имеет экспозиции к USR, а Resolv выступает только как поставщик ликвидности. Активы, поддерживаемые USR, в настоящее время остаются в безопасности. Однако другие протоколы, использующие USR для доходных стратегий (Pendle, Sommelier), испытывают косвенное влияние на доходность и активы.

Это еще раз подчеркивает суровую реальность DeFi: сбой одного протокола может вызвать цепную реакцию «коллапса» других, особенно если актив широко используется в качестве залога. Даже если эти протоколы не пострадали напрямую, их репутация и бизнес могут пострадать из-за связанных рисков.

Кроме того, во время события злоумышленник продавал нелегально созданные 80 миллионов USR партиями на DEX — Curve, Uniswap и других — что вызвало сильные колебания цен. Обвал стоимости USR привел к «безучетным потерям» у поставщиков ликвидности, а также к существенным капиталовложениям в активы, которые почти полностью оказались в состоянии «отклонения от привязки». Это выявило структурные слабости новых пулов с низким объемом торгов и недостаточной глубиной рынка, что усугубило системные риски.

В целом, инцидент Resolv Labs — не просто случайная утечка, а серьезный удар по доверию к криптовалютному рынку, способный вызвать новую волну кризиса доверия к стабильным монетам. Потеря привязки и проблемы с безопасностью стабильных монет подрывают основы всей экосистемы, вызывая сомнения в долгосрочной жизнеспособности алгоритмических и доходных стабильных монет. Это может подтолкнуть инвесторов к уходу из рискованных DeFi-проектов и переключению на более стабильные активы или стратегии хеджирования.

Этот случай — тревожный звонок всему сектору, особенно в условиях продолжающегося медвежьего рынка и низкой склонности к риску. Вновь выявлены проблемы «доверия к цепочке» — чрезмерная зависимость от оффчейн-подписантов и отсутствие блокчейн-проверок. Эксперты советуют внедрять мультиподписи, использовать децентрализованные оракулы (Chainlink, Pyth) для проверки данных в реальном времени и автоматические механизмы прерывания работы системы при угрозе.

Также, после атаки, команда Resolv задержала приостановку протокола более чем на два часа, что показало слабость их аварийных процедур. В будущем необходимо развивать быстрые и автоматизированные системы реагирования на кризисы.

Заключение

На момент написания статьи Resolv Labs еще не объявила о полном плане компенсаций. Пострадавшие пользователи, удерживающие USR или потерявшие из-за отклонения, а также держатели RLP, чьи активы пострадали из-за снижения стоимости страхового пула, пока не получили конкретных решений. Внимание рынка сосредоточено на дальнейших шагах компании.

Этот инцидент заставляет задуматься: является ли «децентрализация» в DeFi революцией в архитектуре или переосмыслением доверия? Когда баланс между инновациями и безопасностью нарушается, единственный путь — возвращение к принципам «минимального доверия», чтобы найти устойчивое равновесие между эффективностью и рисками.