„Resolv Labs“ sekmadienį kreipėsi į vartotojus po įsilaužimo, kuris paveikė bendrovės stabiliosios kriptovaliutos „USR“ išleidimo mechanizmą. Dėl atakos žetonas prarado susiejimą su JAV doleriu, o decentralizuotų finansų (DeFi) protokolai, turintys sąsajų su „USR“, ėmėsi skubių veiksmų, kad apribotų galimą žalą.
Teigiama, kad užpuolikas pasinaudojo „USR“ kaldinimo (minting) mechanizmo spraga, sukūrė dešimtis milijonų realiu turtu nepadengtų žetonų ir juos išpardavinėjo per DeFi likvidumo baseinus. „Resolv“ laikinai pristabdė dalį protokolo funkcijų ir pradėjo vertinti incidento mastą.
Po įsilaužimo „USR“ vertė buvo kritusi iki 0,14 JAV dolerio, tai yra 86 proc. žemiau numatytos 1 JAV dolerio kainos. Vėliau kaina atšoko iki maždaug 0,42 JAV dolerio.
Socialiniame tinkle „X“ „Resolv“ komanda pareiškė, kad užstato (kolateralizacijos) fondas „išlieka visiškai nepažeistas“, o problema, panašu, yra „izoliuota „USR“ išleidimo mechanizme“. Pasak jų, incidento suvaldymas ir poveikio vertinimas vis dar tęsiasi.
Grandinės duomenys, kuriuos analizavo „Arkham“, o taip pat patvirtino „Web3“ saugumo bendrovė „Cyvers“, rodo, kad užpuolikas didžiąją dalį nepadengtų „USR“ konvertavo į „Ether“ (ETH). Dalis gauto turto buvo parduota už maždaug 11 400 ETH, tai yra apie 24 mln. JAV dolerių. Nepriklausomi analitikai taip pat atkreipė dėmesį, kad likę 36,74 mln. „USR“ buvo ir toliau nuosekliai išparduodami.
Taip pat skaitykite:
„Cyvers“ GTM ir strategijos viceprezidentas Michaelis Pearlas teigė, kad pasiūlai išsipūtus greičiau, nei rinka galėjo absorbuoti, o žetonui iš karto praradus susiejimą su doleriu, likusių žetonų vertė buvo smarkiai sumenkusi.
DeFi protokolai ėmėsi skubių veiksmų
DeFi ekosistemos dalyviai, turėję sąsajų su „Resolv“, skubėjo aiškintis savo situaciją. Likvidaus steikingo paslaugų teikėjas „Lido“ pranešė, kad „Lido Earn“ vartotojų lėšos yra saugios. Skolinimo protokolo „Morpho“ bendraįkūrėjas Merlinas Egalite pabrėžė, jog paties protokolo išmaniosios sutartys nebuvo paveiktos, o rizika siejasi tik su tam tikromis saugyklomis. Tuo metu „Aave“ įkūrėjas Stani Kulechovas nurodė, kad platforma neturi tiesioginės „USR“ rizikos, o „Resolv“ esą grąžina savo nepadengtą skolą.
„X“ paskyra „yieldsandmore“ atkreipė dėmesį į galimus nuostolius „Resolv“ jaunesniojoje „RLP“ tranšo dalyje ir galimą grandininį poveikį pajamingumo platformoms, tokioms kaip „Stream“ ir „yoUSD“, kurios „RLP“ naudojo kaip užstatą.
M. Pearlas teigė, kad pagal turimus duomenis rizika atrodo „santykinai koncentruota“ – daugiausia skolinimo rinkose ir sverto (leverage) grandinėse, o ne visoje sistemoje. Didžiausią poveikį, jo vertinimu, galėjo patirti protokolai, integravę „USR“, „wstUSR“ arba „RLP“ į skolinimo, sverto ar pajamingumo strategijas.
Pasak jo, kai kurie protokolai, tokie kaip „Euler“, „Venus“, „Lista“ ir „Fluid“, prevenciškai pristabdė rinkas arba izoliavo tam tikras saugyklas. Kiti pranešė neturintys jokios rizikos. „Tiksliau būtų sakyti, kad rizika koncentruota ir su lokalizuotu išplitimu, o ne plačiai išsikerojusia užkrata“, – sakė jis.
Taip pat skaitykite:
„Ledger“ technikos vadovas Charles’is Guillemet taip pat įvertino situaciją „X“ tinkle, teigdamas, kad dėl santykinai nedidelio „USR“ masto „tai nėra „Terra Luna“ tipo įvykis“.
Klausimai dėl saugumo auditų ribotumo
Skelbiama, kad „Resolv“ išmaniosios sutartys nuo 2024 metų buvo tikrintos per kelis saugumo auditus. Vis dėlto M. Pearlas pabrėžė, kad auditai yra būtini, tačiau savaime „iš prigimties statiniai ir apibrėžtos apimties“. Jo teigimu, reikalinga realaus laiko, dirbtiniu intelektu paremta stebėsena, kuri nuolat analizuotų protokolo veiklą ir leistų greičiau aptikti atsirandančias anomalijas.
Kalbėdamas apie stabiliąsias kriptovaliutas, jis nurodė, kad tokia stebėsena turėtų realiu laiku sekti kaldinimo ir deginimo (burn) srautus, nuolat tikrinti, ar pasiūla atitinka rezervus ir užtikrinančius aktyvus, bei fiksuoti nukrypimus orakulų duomenyse, kainodaroje ir likvidumo sąlygose.
Saugumo bendrovė „Pashov“, kuri 2025 metų liepą auditavo „Resolv“ steikingo modulį, teigė, kad „Resolv“ sprendimo dizainas yra „geras“, o incidento šakninė priežastis greičiausiai susijusi ne tiek su architektūra, kiek su privačiojo rakto kompromitavimu – tikėtina, operacinio saugumo spraga. „Turime suprasti, kaip tai įvyko“, – teigė bendrovės atstovai.
