Resolvi stabiilsete müntide USR laupäevases 23 miljoni dollari suuruses rünnakus levitas nakkust kogu DeFi-sektoris.
Võimalustele reageerivad kauplejad kasutasid depegitud USR-i laenamise tagatiseks, tühjendades likviidsust üle kümne tootlikkusepuuri (yield vault) jaoks.
Asju veelgi halvemaks tegema hakkasid nii nimetatud „riskikuraatorid“, kes automaatselt suunasid rohkem rahalisi vahendeid katkiste turu segmentidesse, kui laenamistasud tõusid.
Novembris põhjustas sarnane nakkus DeFi sektoris „kuraatorite“ puuride (vault) ökosüsteemi pärast Stream Finance teatamist 93 miljoni dollari suurusest kaotusest, mille tulemusena langes xUSD väärtus 75% võrra.
Kuigi kaotuse järel arutleti riskihinnangute ja kuraatorite esimese kaotuse kapitali üle, näib, et tegelikult ei õpitud peaaegu midagi.
Lugege rohkem: Neli kuud hiljem langeb MEV Capital ohvriks 4 miljardi dollari suurusele DeFi „daisy chain“ kokkuvarisemisele
Rünnak
Resolv Labs’i avaldus kinnitas, et privaatvõtme kompromitteerumine põhjustas volitamata (ja piiramata) „umbes 80 miljoni dollari väärtuses mitte-tagatiseta USR-i mintimise“.
USR-i rünnaku eelne tokeni pakkumine on täielikult tagatud, kuid kaotused tulenevad likviidsuspakkujatelt (LP-delt) decentraliseeritud börsidel, kuna rünnaku sooritanud isik müüs mintitud tokeneid. Näiteks hinnati üksnes Curve Finance’i LP-de kaotusi 17 miljoni dollari suuruseks.
Rünnaku sooritanud isiku müügitegevus põhjustas USR-i depegi, mille hetke hind on CoinMarketCap’i andmetel $0,23. Blockchaini turvalisuse firma Beosin hindas rünnaku sooritanud isiku kasumit 11 409 etheris (ETH), mis kirjutamise ajal oli väärt 23 miljonit dollarit.
Resolv meeskond sai kritiseeritud aeglase reageerimise pärast, kuna protokolli peatamiseks oli vaja koguda vajalikud multisig allkirjad.
Meeskond on kontaktinud rünnaku sooritanud isikut blockchainis ja palunud tagastada 90% teisendatud ETH-st ning järelejäänud USR-i.
Lugege rohkem: Venus Protocol’i rünnaku sooritanud isik kaotas 4,7 miljonit dollarit pärast üheksa kuu planeerimist
Tagajärjed
Rünnak võis olla lihtne, kuid selle kõrvalmõjud olid hoopis teistsugused.
Depegitud USR-i kasutasid võimalustele reageerivad kauplejad, et tühjendada tootlikkusepuurid (yield vaults), millel olid kõvakooditud hindade oraklid. Soodsa USR-i ostmisega saatsid kasutajad seda tagatisena kasutada ja laenasid teisi varasid, näiteks USDC-d, nii nagu oleks USR endiselt väärt $1.
Lugege rohkem: Orakli viga süvendas kaosa DeFi suurfirma Aave juures
Nagu asjad juba piisavalt halvad poleks, siis „riskikuraatorite“ automaatsed strateegiad suunasid täiendavaid vahendeid mõjutatud turgudele, mille kõrgelt kasutatud ressurssid põhjustasid pakkumise tootlikkuse tõusu.
Chaos Labs’i Omer Goldberg selgitas, kuidas Morpho avalik allokaator (Public Allocator) funktsioon võimaldas kuraatoritel – sealhulgas Gauntlet, re7, kpk ja 9summits – automaatselt suunata miljoneid dollareid väärtuses varasid turgudele „eelkonfigureeritud ja heaks kiidetud piiride ja krediidiliinide alusel“.
Goldberg’i sõnul jätkus allokaatorite suunamine katkiste puuride (vault) suunas mõnel juhul tunde.
Caos põhjustas aga ka innovatsiooni, sest automaatsed allokaatsioonid olid isegi spetsiaalselt suunatud täiendava likviidsuse vabastamisele. Ettevõtlikud konkurendid Obsidian kasutasid sündmust ka ära ja pakkusid teenust kasutajatele, kelle deposiitid olid kinni jäänud likviidsusetutes Morpho puurides.
Kahjude hindamine
Morpho Paul Frambot loendis 15 mõjutatud puuri (vault), mille USR-ekspositsioon ületas 10 000 dollarit.
Turvalisusuuringute teostaja Weilin Li kohaselt kuulusid mõjutatud puuride (vault) kuraatorite hulka Morpho ja muudes platvormides Gauntlet, Re7, MEV Capital, Extrafi, Seamless, August, Clearstar, kpk, Leyrock ja 9Summits.
Nendest nimedest on paljud tuttavad neile, kes jälgisid novembris toimunud kokkuvarisemist.
Yearn, mille kaastöötajad olid ühed karmimad kriitikud tootlikkusepuuride (yield vault) suhtes, mis põhjustasid novembris toimunud kokkuvarisemise, sai minimaalse kaotuse 377 dollari suuruses.
Irooniliselt (või ilmselt) ei olnud Resolvi enda riskijuht Steakhouse USR-iga seotud, kuigi viis päeva enne rünnakut väitis ta, et „operatsiooniliselt demonstreerib Resolv institutsionaalset rangeid”.
Inverse Finance’i DOLA stabiilse münti toetasid kaos, mis tekkis USR-i depegi tõttu, ning meeskond lubas 340 000 dollari suuruse augu parandada.
Arvukad laenamisturud peatasid USR-turu, sealhulgas Venus Protocol, mida ise rünnati eelmisel nädalavahetusel, ning Lista.
Kõige rohkem kannatas Fluid ja võis koguda kuni 17,5 miljonit dollarit halba võla. Siiski rahustas meeskond kasutajaid, et see „oli taganud lühikesed laenud, et katta 100% halba võla“.
Meeskond kaalub ka FLUID-tokente müüki „juhul, kui vajatakse täiendavaid vahendeid“.
Pärast mitmeid keerulisi kuidu Aave, maailma suurima laenamisprotokolli, juures valitsuse drama ja orakli viga rõhutas Aave Labs’i Stani Kulechov valmisolekut rõhutada Aave puudumist ekspositsioonis.
DeFi „daisy chain“
Selle ühe privaatvõtme kompromitteerumisest tingitud platvormide võrgustik on selge meenutus sellest, kuidas üks DeFi põhiline innovatsioon – interoperatsioon – on kahekülgsed mõõk.
Automaatne allokaator võib tavatingimustes optimeerida tulu, kuid kui asjad lähevad valesti – mis DeFi-s sageli juhtub –, siis tekib ebatäpselt käitumine.
Kuna kuraatoritel ei ole oma varasid kaasatud, soodustab praegune süsteem „kahjulikku mänguteooriat, mis sunnib [kuraatoreid] otsima rohkem riske“.
Selle viimase episoodi tulemusena on taas esile kerkinud nõudmine, et kuraatoritel peaks olema „nahk mängus“. Üks lähenemisviis on deposiitide tranchimine, kus kuraatorid kaotaksid esimesena, kui nende riski „kuraatorlus“ on valesti teostatud.
Teie tip? Saatke meile e-kiri turvaliselt läbi Protos Leaks. Täpsemate uudiste saamiseks jälgige meid X-is, Bluesky-s ja Google News-is või tellige meie YouTube kanal.
Allikas: https://protos.com/resolv-hack-shows-defi-learned-nothing-from-last-contagion/
