O hack de 23 milhões de dólares da stablecoin USR da Resolv no domingo levou a um contágio em todo o setor DeFi / Finanças descentralizadas.
Traders oportunistas usaram a USR desvinculada para pedir empréstimos, drenando liquidez em mais de uma dúzia de cofres de rendimento.
Para piorar as coisas, os chamados "curadores de risco" alocaram automaticamente mais fundos para mercados quebrados à medida que as taxas de empréstimo dispararam.
Em novembro, um contágio semelhante atingiu o ecossistema de cofres "curados" do DeFi / Finanças descentralizadas depois que a Stream Finance anunciou uma perda de 93 milhões de dólares, levando a 75% do xUSD.
Apesar das discussões sobre classificações de risco e curadores aportando capital de primeira perda posteriormente, parece que não foi aprendido muito, afinal.
Leia mais: Quatro meses depois, MEV Capital cai vítima da implosão em cadeia de 4 mil milhões de dólares do DeFi / Finanças descentralizadas
O hack
A declaração da Resolv Labs confirmou que um comprometimento de chave privada levou à "cunhagem não autorizada (e irrestrita) de aproximadamente 80 milhões de dólares de USR sem garantia."
A oferta de tokens USR pré-hack permanece totalmente garantida, com perdas provenientes de fornecedores de liquidez (LPs) em exchanges descentralizadas quando o hacker vendeu os tokens cunhados. Por exemplo, os LPs apenas na Curve Finance estão estimados em ter perdido 17 milhões de dólares.
A venda do hacker causou uma desvinculação da USR, que atualmente está sendo negociada a 0,23 dólares, de acordo com dados do CoinMarketCap. A empresa de segurança Blockchain Beosin coloca os lucros do atacante em 11.409 ether (ETH), no valor de mais de 23 milhões de dólares no momento da redação.
A equipa Resolv enfrentou críticas por um tempo de resposta lento ao coletar as assinaturas multisig necessárias para pausar o protocolo.
Contactou o explorador on-chain, solicitando a devolução de 90% do ETH convertido, bem como da USR restante.
Leia mais: Hacker do Venus Protocol perdeu 4,7 milhões de dólares após nove meses de planeamento
As consequências
O hack pode ter sido simples, mas os efeitos colaterais foram tudo menos isso.
A USR desvinculada foi aproveitada por traders oportunistas que a usaram para drenar cofres de rendimento com oráculos de preços codificados. Ao comprar USR barata para usar como garantia, os utilizadores podiam pedir emprestado outros ativos, como USDC, como se a USR ainda valesse 1 dólar.
Leia mais: Erro de oráculo aumenta turbulência no gigante DeFi / Finanças descentralizadas Aave
Como se as coisas já não estivessem más o suficiente, as estratégias automatizadas dos "curadores de risco" alocaram ainda mais fundos aos mercados afetados, cuja alta utilização havia disparado os rendimentos de oferta.
Omer Goldberg da Chaos Labs explicou como o recurso Public Allocator da Morpho permitiu aos curadores "incluindo Gauntlet, re7, kpk e 9summits" alocar automaticamente milhões de dólares em ativos nos mercados "com base em limites pré-configurados e aprovados e linhas de crédito."
Em alguns casos, diz Goldberg, a alocação em cofres quebrados continuou durante horas.
O caos também trouxe inovação, no entanto, já que as auto-alocações foram até especificamente direcionadas para liberar liquidez adicional. Concorrentes empreendedores da Obsidian também capitalizaram o incidente, oferecendo um serviço de migração para utilizadores cujos depósitos estão presos em cofres Morpho ilíquidos
Avaliando os danos
Paul Frambot da Morpho contabilizou 15 cofres afetados com mais de 10.000 dólares de exposição à USR.
De acordo com o investigador de segurança Weilin Li, os curadores dos cofres afetados, na Morpho e noutros lugares, incluem Gauntlet, Re7, MEV Capital, Extrafi, Seamless, August, Clearstar, kpk, Leyrock e 9Summits.
Para aqueles que acompanharam o colapso de novembro, muitos destes nomes podem ser familiares.
A Yearn, cujos contribuidores estavam entre os críticos mais severos dos cofres de rendimento que levaram ao crash de novembro, sofreu uma perda mínima de 377 dólares.
Ironicamente (ou reveladoramente), o próprio gestor de risco da Resolv, Steakhouse, não estava exposto à USR, apesar de afirmar que "operacionalmente, a Resolv demonstra rigor institucional" apenas cinco dias antes do hack.
O suporte da stablecoin DOLA da Inverse Finance foi indiretamente exposto à desvinculação da USR, com a equipa prometendo corrigir o buraco de 340.000 dólares.
Vários mercados de empréstimos pausaram os mercados USR, incluindo o Venus Protocol, que foi ele próprio hackeado no fim de semana passado, e a Lista.
A Fluid foi a mais atingida, e pode ter acumulado até 17,5 milhões de dólares de dívida incobrável. No entanto, a equipa tranquilizou os utilizadores de que havia "garantido empréstimos de curto prazo para cobrir 100% da dívida incobrável."
Também considera vender tokens FLUID "caso sejam necessários fundos adicionais."
Após alguns meses complicados para o principal protocolo de empréstimos Aave, com drama de governança e um problema de oráculo, Stani Kulechov da Aave Labs estava ansioso por destacar a falta de exposição da Aave.
Cadeia em série do DeFi / Finanças descentralizadas
A rede de plataformas afetadas pelo comprometimento de uma única chave privada é um lembrete contundente de como uma das principais inovações do DeFi / Finanças descentralizadas, a Interoperabilidade Blockchain, é uma espada de dois gumes.
A alocação automatizada pode otimizar retornos em condições normais, mas quando as coisas quebram, o que frequentemente acontece no DeFi / Finanças descentralizadas, comportamentos não intencionais seguem-se.
Sem os seus próprios fundos em jogo, a configuração atual incentiva "teoria dos jogos maliciosa empurrando [curadores] a buscar mais risco."
Este último episódio renovou os apelos para que os curadores tenham interesse no jogo. Uma abordagem é o fatiamento de depósitos, com os curadores definidos para perder primeiro caso o seu risco seja inadequadamente "curado."
Tem uma dica? Envie-nos um e-mail com segurança através de Protos Leaks. Para mais notícias informadas, siga-nos no X, Bluesky, e Google News, ou subscreva o nosso canal YouTube.
Fonte: https://protos.com/resolv-hack-shows-defi-learned-nothing-from-last-contagion/
