星期日发生的Resolv稳定币USR遭2300万美元黑客攻击事件已导致DeFi领域出现传染效应。
投机交易者利用脱锚的USR进行借贷,耗尽了十多个收益金库的流动性。
更糟糕的是,所谓的"风险策展人"随着借贷利率飙升,自动将更多资金分配到已崩溃的市场。
去年11月,在Stream Finance宣布损失9300万美元后,DeFi的"策展"金库生态系统遭遇了类似的传染,导致xUSD下跌75%。
尽管事后讨论了风险评级和策展人投入首亏资本,但事实证明并没有学到多少教训。
阅读更多:四个月后,MEV Capital成为40亿美元DeFi连锁崩溃的受害者
黑客攻击
Resolv Labs的声明证实,私钥泄露导致未经授权(且不受限制)地"铸造了约8000万美元的无抵押USR"。
USR在黑客攻击前的代币供应量仍然完全有支持,损失来自去中心化交易所的流动性提供者(LP),因为黑客出售了铸造的代币。例如,仅Curve Finance上的LP估计就损失了1700万美元。
黑客的抛售导致USR脱锚,根据CoinMarketCap数据,目前交易价格为0.23美元。区块链安全公司Beosin估计攻击者的利润为11,409枚以太币(ETH),在撰写本文时价值超过2300万美元。
Resolv团队因收集必要的多签签名以暂停协议时反应缓慢而受到批评。
该团队已在链上联系攻击者,要求归还90%的兑换ETH以及剩余的USR。
阅读更多:Venus Protocol黑客在九个月的计划后损失470万美元
后续影响
黑客攻击本身可能很简单,但连锁反应却绝非如此。
投机交易者抓住了脱锚的USR,利用它来耗尽具有硬编码价格预言机的收益金库。通过购买廉价的USR作为抵押品,用户可以借入其他资产,如USDC,就好像USR仍然价值1美元一样。
阅读更多:预言机错误加剧了DeFi巨头Aave的混乱
情况还不够糟糕,"风险策展人"的自动化策略随后将更多资金分配到受影响的市场,这些市场的高利用率推高了供应收益率。
Chaos Labs的Omer Goldberg解释了Morpho的公共分配器功能如何允许策展人"包括Gauntlet、re7、kpk和9summits""根据预先配置和批准的上限和信用额度"自动分配价值数百万美元的资产到市场。
Goldberg说,在某些情况下,向损坏的金库分配资金持续了数小时。
然而,混乱也带来了创新,因为自动分配甚至被专门针对以释放额外的流动性。进取的竞争对手Obsidian也利用了这一事件,为存款卡在流动性不足的Morpho金库中的用户提供迁移服务
评估损失
Morpho的Paul Frambot统计了15个受影响的金库,对USR的敞口超过10,000美元。
据安全研究员Weilin Li称,受影响金库的策展人,在Morpho和其他地方,包括Gauntlet、Re7、MEV Capital、Extrafi、Seamless、August、Clearstar、kpk、Leyrock和9Summits。
对于那些关注11月崩溃的人来说,这些名字中的许多可能很熟悉。
Yearn的贡献者是导致11月崩溃的收益金库最严厉的批评者之一,但仅遭受了377美元的最小损失。
具有讽刺意味的是(或者说很能说明问题),Resolv自己的风险管理公司Steakhouse没有暴露于USR,尽管在黑客攻击前五天还表示"在运营上,Resolv展现了机构级的严谨性"。
Inverse Finance的DOLA稳定币的支持间接暴露于USR的脱锚,该团队承诺修补34万美元的漏洞。
许多借贷市场暂停了USR市场,包括上周末本身也遭到黑客攻击的Venus Protocol和Lista。
Fluid受创最严重,可能累积了高达1750万美元的坏账。然而,该团队向用户保证已"获得短期贷款以覆盖100%的坏账"。
它还考虑出售FLUID代币"如果需要任何额外资金"。
在顶级借贷协议Aave经历了几个月的困难时期后,包括治理争议和预言机事故,Aave Labs的Stani Kulechov急于强调Aave没有受到影响。
DeFi连锁反应
单个私钥泄露影响的平台网络清楚地提醒我们,DeFi的关键创新之一——互操作性,是一把双刃剑。
自动分配可能在正常情况下优化回报,但当事情出问题时,这在DeFi中经常发生,就会产生意外行为。
在没有自己资金参与的情况下,当前的设置激励"恶意博弈论推动[策展人]寻求更多风险"。
这一最新事件再次呼吁策展人要有切身利益。一种方法是对存款进行分层,如果他们的风险管理不当,策展人将首先蒙受损失。
有线索?通过 Protos Leaks安全地向我们发送电子邮件。获取更多资讯,请在 X、 Bluesky 和 Google News 上关注我们,或订阅我们的 YouTube 频道。
来源: https://protos.com/resolv-hack-shows-defi-learned-nothing-from-last-contagion/
