Resolv Labs Атакована, Проекты DeFi Снова Подвергаются Эксплуатации

Resolv Labs, эмитент стабильной монеты USR, использующий нейтральную стратегию Delta, был взломан. Адрес, начинающийся с 0x04A2, создал 50 миллионов USR через протокол Resolv Labs, потратив 100 000 USDC. После раскрытия инцидента цена USR сразу упала примерно до 0,25 доллара, затем восстановилась до около 0,80 доллара на момент написания статьи. Цена токена RESOLV также снизилась почти на 10% за короткое время.

Затем хакеры использовали аналогичный метод для создания 30 миллионов USR с помощью 100 000 USDC. Когда USR потерял значительную стоимость, спекулянты на арбитраже быстро среагировали, и многие рынки кредитования на Morpho, поддерживающие USR, wstUSR и другие залоговые активы, практически исчерпались. Lista DAO в цепочке BNB также приостановила новые заявки на заимствование.

Эти протоколы кредитования не единственные, пострадавшие от взлома. Также протокол Resolv Labs позволяет пользователям создавать токен RLP, что вызывает большую волатильность цен и более высокую прибыль, но одновременно влечет за собой юридическую ответственность за убытки, возникшие из-за протокола. В настоящее время в обращении находится около 30 миллионов токенов RLP, из которых Stream Finance владеет более 13 миллионов, что соответствует чистому риску примерно 17 миллионов долларов. Да, Stream Finance, компания, которая понесла крупные потери из-за xUSD, возможно, скоро столкнется с еще одним ударом. На момент написания статьи хакеры обменяли USR на USDC и USDT и продолжают покупать Ethereum, приобретя более 10 000 ETH. Используя 200 000 USDC, хакеры вернули более 20 миллионов долларов активов, найдя свою “монету с доходностью в 100 раз” на медвежьем рынке. Еще раз, уязвимость была использована из-за “недостаточной строгости” механизма.

Резкое падение 11 октября прошлого года привело к тому, что многие стабильные монеты, выпущенные по стратегии Delta-neutral, понесли убытки залоговых активов из-за ADL (автоматического снижения плеча). Некоторые проекты, использующие альткоины в качестве залога, понесли еще большие потери, а некоторые полностью исчезли. Resolv Labs, проект, подвергшийся взлому, также использует аналогичный механизм для выпуска USR. В апреле 2025 года проект объявил о завершении раунда посевного финансирования в размере 10 миллионов долларов, возглавляемого Cyber.Fund и Maven11, с участием Coinbase Ventures, а также о запуске токена RESOLV в конце мая и начале июня. Однако причина взлома Resolv Labs — не суровые рыночные условия, а то, что механизм создания USR “недостаточно строгий”. На данный момент ни одна компания по кибербезопасности или официальное ведомство не проанализировали причины этого взлома. Предварительный анализ сообщества DeFi YAM показывает, что взлом, скорее всего, произошел из-за того, что злоумышленник получил контроль над функцией SERVICE_ROLE, используемой в вспомогательном модуле протокола для задания параметров смарт-контракта для создания криптовалюты. По анализу Grok, при создании USR пользователи инициируют запрос в цепочке и вызывают функцию requestMint контракта, с параметрами: _depositTokenAddress: адрес, куда отправляются токены; _amount: сумма для хранения; _minMintAmount: минимальное ожидаемое количество USR (параметр антиоткат). Затем пользователь отправляет USDC или USDT в контракт. Вспомогательный модуль SERVICE_ROLE проекта контролирует запрос, используя оракул Pyth для проверки стоимости отправленных активов, и затем вызывает функции completeMint или completeSwap для определения фактического количества созданных USR. Проблема в том, что контракт эмиссии полностью доверяет значению mintAmount, предоставленному SERVICE_ROLE, предполагая, что оно было подтверждено вне цепочки через Pyth. Поэтому он не устанавливает лимит или не проверяет его через оракул внутри цепочки, а сразу вызывает mint(_mintAmount). Исходя из этого, YAM предполагает, что хакер получил контроль над SERVICE_ROLE, который должен был контролировать команда проекта (возможно, из-за внутренней уязвимости оракула, внутреннего кражи или похищения ключей), и напрямую установил _mintAmount в 50 миллионов во время создания фальшивых монет, что позволило осуществить взлом и создать 50 миллионов USR за 100 000 USDC. В конце Grok делает вывод, что Resolv не учел возможность того, что адрес (или контракт), используемый для получения запроса на создание USR, может находиться под контролем злоумышленника при проектировании протокола. Когда запрос на создание USR отправляется в контракт, не устанавливается ограничение на максимальное количество, и контракт не использует внутренний оракул для вторичной проверки. Он полностью доверяет всем параметрам, предоставленным SERVICE_ROLE. Меры предосторожности также оказались недостаточными. Помимо предположений о причинах взлома, YAM указывает на недостаточную подготовку команды проекта к кризисной ситуации. YAM заявил в X, что Resolv Labs приостановила работу протокола на три часа после первоначального взлома, из которых около часа было нужно для сбора четырех подписей для мультиподписанных транзакций. YAM считает, что экстренная остановка должна требовать только одну подпись, и это право должно быть делегировано членам команды или доверенным внешним операторам, чтобы повысить осведомленность о необычной активности в цепочке, улучшить возможность быстрого реагирования и лучше охватывать разные часовые пояса. Хотя предложение о приостановке протокола с одной подписью кажется чрезмерным, требование нескольких подписей из разных часовых поясов для остановки протокола действительно может привести к значительным задержкам в экстренных ситуациях. Внедрение третьей стороны, постоянно отслеживающей поведение в цепочке, или использование инструментов мониторинга с правом экстренной остановки — важные уроки из этого инцидента. Взломы DeFi-протоколов давно ограничиваются уязвимостями смарт-контрактов. Инцидент Resolv Labs служит предупреждением для команд проектов: предположение о полной безопасности протокола недопустимо, все связанные с параметрами связи должны проходить как минимум двойную проверку, даже если это сервер, управляемый самой командой.