Stablecoin da Resolv Labs despenca 80% após explorador cunhar milhões em tokens USR sem lastro

No domingo, o protocolo de finanças descentralizadas Resolv Labs revelou que o processo de cunhagem da sua stablecoin nativa tinha sido explorado.

O atacante criou 80 milhões de tokens USR sem garantia após obter acesso às chaves privadas do projeto, disse a Resolv Labs na segunda-feira de manhã.

Com esses tokens cunhados, o atacante então trocou os tokens USR por versões em staking e trocou-os pela stablecoin atrelada ao dólar da Circle antes de usar essas participações para comprar Ether.

No total, fugiram com aproximadamente 23 milhões de dólares em Ether, de acordo com dados on-chain, e deixaram os detentores de tokens USR numa situação difícil.

O CoinGecko mostra que a stablecoin USR está agora a ser negociada abaixo de $0,4, tendo caído até $0,02.

As funções de cunhagem e resgate do projeto foram desativadas para mitigar mais danos, disse a equipa Resolv.

A stablecoin da Resolv Labs mantém a sua paridade ao alavancar estratégias de negociação que equilibram posições longas e curtas em ativos voláteis.

Quando os utilizadores depositam Ether para cunhar USR, o protocolo abre simultaneamente posições curtas iguais — apostas de que o preço do Ether vai cair — para que, independentemente da volatilidade do ativo, o token USR esteja equilibrado.

A mais recente exploração, no entanto, teve pouco a ver com este mecanismo.

Exploração de chave privada

O explorador da Resolv Labs conseguiu cunhar 80 milhões de tokens USR usando entre $100.000 e $200.000 em garantia após comprometer as chaves privadas do projeto, de acordo com a Chainalysis.

Conseguiram sobrepor a lógica do protocolo após aceder ao serviço de gestão de chaves da Resolv na Amazon Web Services.

As chaves privadas são um componente crítico dos contratos inteligentes, pois permitem aos detentores realizar as ações que desejam, como cunhar milhões de um token específico.

O contrato de cunhagem não tinha verificações de oráculo ou de cunhagem máxima implementadas para prevenir esta ação, de acordo com o cofundador do explorador on-chain habilitado por IA Herd, Andrew Whong.

A interoperabilidade contra-ataca

A Resolv Labs e os detentores de USR não foram as únicas vítimas da exploração.

Vários protocolos que tinham integrado a stablecoin também foram duramente atingidos, nomeadamente aqueles que usam um modelo de curador para gerar rendimento para os seus utilizadores.

A Morpho Labs, um protocolo de empréstimo que usa um modelo de curador, forneceu um exemplo claro de como explorações como a da Resolv podem repercutir-se nas DeFi.

O protocolo Morpho permite que gestores de terceiros personalizem os seus pools de empréstimo e estabeleçam os seus próprios parâmetros de segurança e listagens de tokens. Estes gestores são chamados curadores.

O risco recai sobre os curadores destes pools em vez da Morpho, caso algo corra mal.

"Quero reiterar que não há vulnerabilidade nos contratos da Morpho. São seguros e estão a funcionar como pretendido", disse Merlin Egalite, um cofundador da Morpo, na segunda-feira.

"Para orientação sobre cofres que possam ter exposição a USR ou ativos relacionados com a Resolv, recomendamos seguir as comunicações relevantes do curador."

Gauntlet, Re7 Labs, kpk e 9summits foram curadores da Morpho que criaram pools personalizados — chamados cofres — com exposição a USR.

Em alguns casos, estes curadores tinham serviços de liquidez automatizados que continuaram a fornecer liquidez aos seus cofres USR horas após a exploração, agravando ainda mais os danos, disse o fundador da Chaos Labs, Omer Goldberg.

No total, cerca de 15 cofres com mais de $10.000 em liquidez foram impactados pela exploração da Resolv, disse o cofundador da Morpho, Paul Frambot.

"Os curadores responderam rapidamente a uma situação desafiante com a equipa Morpho a auxiliar onde necessário", disse.

"Dito isto, continuaremos a trabalhar com os curadores para melhorar ainda mais as ferramentas disponíveis para ajudá-los em eventos futuros."

Liam Kelly é o correspondente de DeFi da DL News baseado em Berlim. Tem uma dica? Entre em contacto através de liam@dlnews.com.