Обмен 200 000 на почти 100 миллионов: стейблкоины DeFi подверглись очередной атаке

Автор: Эрик, Foresight News

Сегодня около 10:21 по пекинскому времени компания Resolv Labs, выпускающая стейблкоин USR с использованием стратегии дельта-нейтрализации, была взломана. Адрес, начинающийся с 0x04A2, выпустил 50 миллионов USR из протокола Resolv Labs, используя 100 000 USDC.

Когда об инциденте стало известно, курс USR упал примерно до 0,25 доллара, и на момент написания статьи он восстановился примерно до 0,8 доллара. Цена токена RESOLV также временно упала почти на 10%.

Впоследствии хакер повторил метод и снова выпустил 30 миллионов USR, используя 100 000 USDC. Из-за значительного расхождения курса USR арбитражные трейдеры быстро отреагировали, и многие кредитные рынки на Morpho, поддерживающие USR, wstUSR и другие типы залога, были почти полностью опустошены, в то время как Lista DAO на цепочке BNB также приостановила новые заявки на займы.

Воздействие не ограничивается этими кредитными протоколами. В рамках протокола Resolv Labs пользователи также могут выпускать более волатильный и высокодоходный токен RLP, но они должны нести компенсационные обязательства, когда протокол несет убытки. В настоящее время объем выпуска токенов RLP составляет почти 30 миллионов, при этом крупнейший держатель, Stream Finance, владеет более 13 миллионов RLP, что приводит к чистому рисковому воздействию в размере около 17 миллионов долларов.

Действительно, Stream Finance, который ранее пострадал из-за инцидента с xUSD, может снова пострадать.

На момент написания этого текста хакер конвертировал USR в USDC и USDT и продолжает покупать Ethereum, уже купив более 10 000. Имея 200 000 USDC, они извлекли активы на сумму более 20 миллионов долларов, найдя свою "стократную монету" во время медвежьего рынка.

Еще одна эксплоатация из-за «отсутствия строгости»

Резкое падение 11 октября прошлого года привело к тому, что многие стейблкоины, выпущенные с использованием дельто-нейтральных стратегий, понесли убытки из-за ADL (автоматического снижения уровня заемности). Некоторые проекты, которые использовали стратегии с альткоинами, понесли еще большие убытки или обанкротились.

Компания Resolv Labs, на которую было совершено нападение, также выпускала USR с использованием аналогичного механизма. В апреле 2025 года проект объявил о завершении раунда seed в размере 10 миллионов долларов под руководством Cyber.Fund и Maven11, с участием Coinbase Ventures, и запустил токен RESOLV в конце мая - начале июня.

Однако причиной атаки на Resolv Labs стали не экстремальные рыночные условия, а скорее «отсутствие строгости» в конструкции механизма чеканки USR.

На данный момент ни одна из компаний, занимающихся вопросами безопасности, и ни один официальный представитель не проанализировали причины этого инцидента с взломом. Сообщество DeFi YAM предварительно пришло к выводу, что атака, вероятно, была вызвана тем, что хакер контролировал SERVICE_ROLE, который используется бэкендом протокола для предоставления параметров для контракта на чеканку.

Согласно анализу Grok, когда пользователи чеканят USR, они инициируют запрос в цепочке и вызывают функцию запроса на чеканку контракта с параметрами, включая:

_depositTokenAddress: адрес депонированного токена;

_amount: сумма депозита;

_minMintAmount: минимальная ожидаемая сумма USR для получения (чтобы предотвратить проскальзывание).

После этого пользователи вносят USDC или USDT в контракт, и бэкенд проекта SERVICE_ROLE отслеживает запрос, используя оракул Pyth для проверки стоимости внесенных активов, а затем вызывает функцию completeMint или completeSwap для определения фактического количества USR, полученного в результате майнинга.

Проблема заключается в том, что контракт майнинга полностью доверяет значению _mintAmount, предоставленному SERVICE_ROLE, полагая, что это число было проверено вне цепочки Pyth, таким образом, не было установлено верхнее ограничение, а также не было проведено никакой проверки оракула на цепочке, что привело к прямому выполнению mint(_mintAmount).

Исходя из этого, YAM подозревает, что хакер контролировал SERVICE_ROLE, который должен был контролироваться командой проекта (возможно, из-за внутренней ошибки оракула, сговора или кражи ключей), напрямую установив _mintAmount в 50 миллионов во время майнинга, что привело к атаке, в результате которой было получено 50 миллионов USR с 100 000 USDC.

В итоге Grok пришел к выводу, что Resolv не рассматривал возможность того, что адрес (или контракт), используемый для получения запросов на чеканку монет от пользователей, может быть подконтролен хакерам, при разработке протокола. Когда запрос на чеканку USR был отправлен на контракт, который в конечном итоге чеканит USR, максимальный объем чеканки не был установлен, а также не было проведено вторичной проверки с использованием внецепочечного оракула, что привело к прямой доверчивости ко всем параметрам, предоставленным SERVICE_ROLE.

Меры по предотвращению также были недостаточными

Помимо предположений о причинах взлома, YAM также указал на недостаточную подготовку проекта к реагированию на кризисные ситуации.

YAM заявил в X, что Resolv Labs приостановил работу протокола только через три часа после первой атаки хакера, причем около одного часа этой задержки было связано с необходимостью собрать четыре подписи для многоподписной транзакции. YAM считает, что для экстренной паузы достаточно одной подписи, и что полномочия должны быть максимально распределены среди членов команды или доверенных внешних операторов, что повысит осведомленность о нарушениях в цепочке, увеличит вероятность быстрой паузы и лучше охватит разные часовые пояса.

Хотя предложение о том, что одна подпись может остановить протокол, является несколько радикальным, требование нескольких подписей в разных часовых поясах для остановки протокола действительно может отложить важные вопросы в чрезвычайной ситуации. Введение доверенных третьих сторон, которые постоянно отслеживают поведение в цепочке, или использование инструментов мониторинга с полномочиями по протоколу экстренной паузы — это уроки, извлеченные из этого инцидента.

Хакерские атаки на протоколы DeFi больше не ограничиваются уязвимостями контрактов. Инцидент с Resolv Labs служит предупреждением для команд проектов: предположения о безопасности протокола не должны доверять ни одной отдельной ссылке, и все процессы, связанные с параметрами, должны пройти как минимум вторичную проверку, включая те, которые управляет сама команда проекта.