Resolv Labs bevestigde een exploit van $25M die 80 miljoen niet-gedekte USR-tokens mintte en de dollarkoppeling verbrak

Een stablecoin die op $1 handelde, daalde in sommige pools naar fracties van een cent. Het mechanisme erachter is het waard om precies te begrijpen.

Hoe de Aanval Werkte

Resolv Labs bevestigde een beveiligingsexploit gericht op de mintfunctie van zijn USR stablecoin-contract. De aanval werd in twee fasen uitgevoerd. In de eerste gebruikte een aanvaller ongeveer $100.000 aan USDC om 50 miljoen USR-tokens te minten via de requestSwap- en completeSwap-functies van het protocol, een verhouding van ongeveer 500 op 1 tussen ingezet kapitaal en gegenereerde tokens. Beveiligingsbedrijf PeckShield identificeerde kort daarna een tweede transactie waarin de aanvaller nog eens 30 miljoen USR mintte, waardoor de totale ongeautoriseerde uitgifte op 80 miljoen tokens kwam.

Analisten van D2 Finance identificeerden drie potentiële vectoren voor de inbreuk: een gecompromitteerd oracle dat onjuiste prijsgegevens in de mintfunctie invoerde, een gelekte off-chain ondertekenaar wiens inloggegevens het minten zonder legitieme dekking autoriseerden, of een kritieke afwezigheid van bedragvalidatie tijdens het mintproces zelf. Elk van de drie zou de aanvaller in staat hebben gesteld om de controles te omzeilen die ongedekte uitgifte op die schaal hadden moeten voorkomen. Het onderzoek loopt nog en er is nog geen enkele oorzaak publiekelijk bevestigd.

De Depeg en Wat Het Kostte

De gevolgen van het injecteren van 80 miljoen ongedekte tokens in de liquiditeitsinfrastructuur van USR waren onmiddellijk. USR daalde van zijn $1,00 koppeling en handelde op sommige platforms zo laag als $0,257. In de USR/USDC-pool op Curve Finance, waar geconcentreerde liquiditeit de prijsimpact versterkt, daalde de token tot ongeveer $0,025 door ernstige slippage toen de aanvaller de geminte tokens verwisselde voor legitieme stablecoins.

De aanvaller wist met succes minstens $25 miljoen te extraheren door de geminte USR te ruilen voor USDC en USDT voordat deze werd omgezet in ongeveer 11.422 ETH. De $100.000 aan USDC die werd gebruikt om de exploit te initiëren genereerde een rendement van minstens $25 miljoen, een 250x rendement op het kapitaal dat werd ingezet om de aanval uit te voeren.

Resolv Labs verklaarde dat de oorspronkelijke onderpandactiva van het protocol voldoende bleven en niet direct werden gestolen in de exploit. De schade kwam niet van het wegnemen van wat er was, maar van het creëren van wat er niet had moeten zijn en het omzetten ervan in echte waarde voordat het protocol kon reageren.

De Protocolreactie en Marktgevolgen

Resolv Labs pauzeerde alle protocolfuncties onmiddellijk na bevestiging van de inbreuk, stopte verder minten en beperkte aanvullende schade. Het team verklaarde dat het de exploit onderzoekt en probeert de geëxtraheerde fondsen te herstellen, hoewel het historisch gezien moeilijk is om fondsen die in ETH zijn omgezet en via DeFi-infrastructuur zijn verplaatst, terug te vorderen.

De gevolgen strekten zich uit verder dan het eigen protocol van Resolv. Euler Labs schakelde de USR- en RLP-onderpandfunctionaliteit op zijn platform uit. Venus Protocol schorste de USR-handel volledig om gebruikers te beschermen tegen blootstelling aan een gedepegde asset. Deze reacties weerspiegelen de onderling verbonden aard van DeFi-onderpandinfrastructuur, waarbij een stablecoin-exploit in één protocol direct risico creëert voor elk protocol dat die stablecoin als onderpand of handelspaar accepteerde.

De exploit volgt een patroon dat herhaaldelijk is verschenen in DeFi-beveiligingsincidenten. De kwetsbaarheid zat niet in het onderliggende onderpand van de asset, maar in de contractlogica die bepaalt hoe nieuwe tokens worden uitgegeven. Wanneer mintfuncties onvoldoende validatie hebben, kan de dekkingseis die een stablecoin zijn waarde geeft, volledig worden omzeild zonder de onderliggende reserves aan te raken. De $100.000 instapkosten en $25 miljoen uitstap bevestigen hoe asymmetrisch die kwetsbaarheid kan zijn wanneer deze onopgemerkt blijft.

Het bericht Resolv Labs Bevestigde een $25M Exploit Die 80 Miljoen Ongedekte USR-Tokens Mintte en de Dollarkoppeling Verbrak verscheen eerst op ETHNews.