Використали 200 тисяч для отримання майже 1 мільярда, стабільні монети DeFi знову зазнали атаки

Автор: Ерик, Foresight News

Сьогодні близько 10:21 за пекинським часом Resolv Labs, яка використовує нейтральну стратегію Delta для випуску стабільної монети USR, зазнала хакерської атаки. Адреса, що починається з 0x04A2, використала 100 000 USDC для створення 50 мільйонів USR через протокол Resolv Labs.

Після розкриття інциденту ціна USR впала приблизно до 0,25 долара, а на момент написання статті відновилася до близько 0,8 долара. Короткостроковий максимум ціни RESOLV також знизився майже на 10%.

Після цього хакер повторив операцію, знову використовуючи 100 000 USDC для створення 30 мільйонів USR. Через значне відхилення USR від ціни арбітражні трейдери швидко активізувалися: багато кредитних платформ на Morpho, що підтримують застави у USR, wstUSR та інших, майже порожні, а Lista DAO на BNB Chain призупинила нові запити на позики.

Постраждали не лише ці кредитні протоколи. У структурі Resolv Labs користувачі також можуть створювати RLP — токен з більшою волатильністю та вищим доходом, але з обов’язком компенсувати збитки протоколу у разі втрат. Зараз обіг RLP становить близько 30 мільйонів, найбільший власник — Stream Finance, що володіє понад 13 мільйонами RLP, з чистим ризиком близько 17 мільйонів доларів.

Так, можливо, що Stream Finance, яке раніше зазнало збитків через xUSD, знову опиниться під ударом.

На момент написання статті хакер перетворив USR у USDC та USDT і продовжує купувати Ethereum, вже придбавши понад 10 000 монет. За допомогою 200 000 USDC він отримав активи на понад 20 мільйонів доларів — хакер знайшов у «медвежому» ринку свою «стратегічну монету» з потенціалом для 100-кратного зростання.

Ще один випадок «недбалості», що дозволив зламати систему

У жовтні минулого року різке падіння цін призвело до втрат застави у багатьох стабільних монет, випущених за допомогою нейтральної стратегії Delta, через автоматичне зниження левериджу (ADL). Проекти, що використовували альткоїни як активи для стратегій, зазнали ще більших втрат і навіть зникли.

Цього разу атакована Resolv Labs також використовувала схожу механіку для випуску USR. Проєкт у квітні 2025 року оголосив про завершення раунду посівного фінансування на 10 мільйонів доларів із залученням Cyber.Fund, Maven11 та Coinbase Ventures, а наприкінці травня — запуск токена RESOLV.

Однак причина атаки полягала не у крайніх ринкових умовах, а у недосконалому механізмі створення USR.

Поки що жодна безпекова компанія або офіційні джерела не проаналізували причини інциденту. Спільнота DeFi, зокрема YAM, зробила попередній висновок: ймовірно, атака сталася через те, що SERVICE_ROLE, який використовується для надання параметрів для створення USR, був під контролем хакера.

За аналізом Grok, під час створення USR користувачі надсилають запити в блокчейні, викликаючи функцію requestMint контракту з такими параметрами:

_depositTokenAddress — адреса токена для внесення;

_amount — кількість внесених токенів;

_minMintAmount — мінімальна кількість USR, яку очікує отримати користувач (захист від проскоку).

Після цього користувачі вносять USDC або USDT у контракт, а бекенд проекту, що має роль SERVICE_ROLE, контролює запити, використовуючи оракул Pyth для перевірки вартості внесених активів. Потім викликаються функції completeMint або completeSwap, що визначають фактичну кількість створених USR.

Проблема полягає в тому, що контракт створення цілком довіряє значенню _mintAmount, яке, за припущенням, було підтверджено через Pyth поза ланцюгом, і тому не встановлював обмежень або додаткової перевірки через оракул. В результаті, контракт виконав mint(_mintAmount) без додаткової перевірки.

YAM вважає, що хакер міг контролювати SERVICE_ROLE, який зазвичай має належати команді або проекту (можливо, через внутрішню збої або крадіжку ключів), і безпосередньо встановити _mintAmount на 50 мільйонів, що дозволило створити 50 мільйонів USR за 100 000 USDC.

Загалом, Grok зробив висновок, що при проектуванні протоколу Resolv Labs не врахували можливість контролю хакером адреси (або контракту), що обробляє запити на створення USR. Вони не встановили обмеження на максимальну кількість створюваних токенів і не додали двоєрівневу перевірку через оракул, довіряючи лише ролі SERVICE_ROLE.

Недостатня профілактика

Крім аналізу причин зламу, YAM зазначила, що команда проекту недостатньо підготувалася до кризових ситуацій.

У соцмережі X (Twitter) YAM повідомила, що Resolv Labs лише через три години після першої атаки призупинила протокол, причому близько години витратила на збір підписів для мульти-підпису з чотирьох учасників. Вони вважають, що для екстреного зупинення достатньо одного підпису, і цей доступ слід якомога більше делегувати команді або довіреним зовнішнім операторам, щоб швидко реагувати на аномалії в блокчейні, враховуючи різний часових поясів.

Хоча рекомендація про можливість зупинки одним підписом здається радикальною, у реальності для швидкої реакції у кризових ситуаціях потрібна підтримка кількох підписів із різних часових поясів. Впровадження довірених сторонніх сервісів, що постійно моніторять поведінку в блокчейні, або використання інструментів з функцією екстреного зупинення — це уроки, які можна винести з цієї події.

Атаки на DeFi-протоколи давно виходять за межі вразливостей у смарт-контрактах. Інцидент Resolv Labs нагадує про те, що безпека протоколу має базуватися на припущенні, що жоден його компонент не можна довіряти беззастережно. Всі елементи, що містять параметри або ключові дані, мають проходити щонайменше двоєрівневу перевірку, навіть якщо вони належать команді або проекту.