Su kriptovaliutų projektu „Resolv Labs“ susietas stabilusis žetonas (stablecoin) prarado susiejimą su JAV doleriu po to, kai užpuolikas pasinaudojo žetono išmaniosios sutarties spraga ir susikūrė milijonus žetonų.

„Resolv Labs“ sekmadienį pranešė, kad patyrė ataką, kurios metu piktavalis dalyvis galėjo nukaldinti 50 mln. nepadengtų „Resolv USR“ (USR) žetonų. Bendrovė nurodė, jog komanda laikinai sustabdė visas protokolo funkcijas, kad užkirstų kelią tolesniems kenkėjiškiems veiksmams, ir aktyviai dirba ties situacijos suvaldymu bei atstatymu.

Dar anksčiau sekmadienį paskyra „yieldsandmore“ teigė, kad USR smarkiai smuko, o blokų grandinės duomenys rodė, jog užpuolikas sugebėjo nukaldinti 50 mln. USR, įnešęs 100 tūkst. JAV dolerių vertės stablekoino „USDC“.

Kriptovaliutų saugumo bendrovė „PeckShield“ taip pat skelbė, kad užpuolikas papildomai nukaldino dar 30 mln. USR žetonų.

Kripto fondas „D2 Finance“ nurodė, kad USR sutartyje esanti kaldinimo funkcija, panašu, veikė netinkamai. Pasak jų, galimi keli scenarijai: buvo apgauta orakulo sistema, kompromituotas ne grandinėje veikiantis pasirašytojas arba apskritai trūko sumos patikros tarp užklausos ir jos įvykdymo.

Šis incidentas įvyko po laikotarpio, kai su kriptovaliutomis susijusių įsilaužimų mastas vasarį buvo smarkiai sumažėjęs: per mėnesį dėl įvairių išnaudojimų prarasta apie 49 mln. JAV dolerių, palyginti su 385 mln. JAV dolerių sausį. Tuo metu užpuolikai vis dažniau rinkosi sukčiavimą per apsimetimą (phishing) vietoje protokolų atakų.

Užpuolikas lėšas išgrynino itin greitai

„D2 Finance“ teigimu, užpuolikas skubiai išskirstė nukaldintus 50 mln. USR per kelis kripto protokolus, keitė žetonus į stablekoinus „USDC“ ir „USDt“, o vėliau agresyviai konvertavo į „Ether“ (ETH).

„Užpuoliko pasitraukimo scenarijus – klasikinis DeFi įsilaužimo lėšų išgryninimas, vykstantis pilnu greičiu“, – teigė „D2 Finance“.

Fondą cituojant, kai kuriuose sandoriuose USR buvo parduodamas net po 0,50 JAV dolerio, nes skirtinguose protokoluose prastėjo likvidumas ir didėjo kainos nuokrypis (slippage). Taip pat matėsi ir keli nesėkmingi sandoriai, kurie, pasak jų, rodė skubą.

„D2 Finance“ vertinimu, užpuolikas iš atakos galėjo ištraukti apie 25 mln. JAV dolerių.

Šiuo metu USR prekiaujamas maždaug po 0,87 JAV dolerio, t. y. apie 13 proc. žemiau nei 1 JAV dolerio lygis, kurį žetonas siekia išlaikyti.

Tačiau kritimas buvo gerokai gilesnis: viename USR/„USDC“ likvidumo baseine protokole „Curve Finance“, kuris laikomas likvidžiausiu USR baseinu, kaina buvo kritusi net iki 0,025 JAV dolerio. Skelbiama, kad žemiausią tašką USR pasiekė sekmadienį 2:38 UTC laiku, praėjus vos 17 minučių po to, kai buvo nukaldinta 50 mln. žetonų. Vėliau baseinas atsigavo iki maždaug 0,845 JAV dolerio.