週日 Resolv 的穩定幣 USR 遭遇 2,300 萬美元駭客攻擊,導致 DeFi 領域發生連鎖反應。
投機交易者利用脫錨的 USR 進行借貸,耗盡了十多個收益金庫的流動性。
更糟糕的是,所謂的「風險策展人」隨著借貸利率飆升,自動將更多資金分配到已崩潰的市場。
去年 11 月,在 Stream Finance 宣布損失 9,300 萬美元後,類似的連鎖反應襲擊了 DeFi 的「策展」金庫生態系統,導致 xUSD 下跌 75%。
儘管事後討論了風險評級和策展人投入首損資本,但似乎並沒有學到太多教訓。
延伸閱讀:四個月後,MEV Capital 成為 40 億美元 DeFi 菊花鏈崩盤的受害者
駭客攻擊
Resolv Labs 的聲明證實,私鑰洩露導致未經授權(且不受限制)「鑄造了大約 8,000 萬美元的無抵押 USR」。
USR 駭客攻擊前的代幣供應量仍然得到全額支持,損失來自去中心化交易所的流動性提供者(LP),因為駭客出售了鑄造的代幣。例如,僅 Curve Finance 上的 LP 估計損失了 1,700 萬美元。
駭客的拋售導致 USR 脫錨,根據 CoinMarketCap 數據,目前交易價格為 0.23 美元。區塊鏈安全公司 Beosin 估計攻擊者獲利 11,409 枚以太幣(ETH),在撰寫本文時價值超過 2,300 萬美元。
Resolv 團隊因在收集必要的多重簽名以暫停協議時反應緩慢而受到批評。
該團隊已在鏈上聯繫攻擊者,要求歸還 90% 的已轉換 ETH 以及剩餘的 USR。
延伸閱讀:Venus Protocol 駭客在計劃九個月後損失 470 萬美元
後續影響
駭客攻擊可能很簡單,但連鎖效應卻絕非如此。
脫錨的 USR 被投機交易者搶購,他們利用它來耗盡具有硬編碼價格預言機的收益金庫。通過購買便宜的 USR 作為抵押品,用戶可以借入其他資產,例如 USDC,就好像 USR 仍然價值 1 美元一樣。
延伸閱讀:預言機錯誤加劇了 DeFi 巨頭 Aave 的混亂
彷彿情況還不夠糟糕,「風險策展人」的自動化策略隨後將更多資金分配到受影響的市場,這些市場的高使用率推高了供應收益率。
Chaos Labs 的 Omer Goldberg 解釋了 Morpho 的公共分配器功能如何允許策展人「包括 Gauntlet、re7、kpk 和 9summits」根據「預先配置和批准的上限及信用額度」將價值數百萬美元的資產自動分配到市場。
Goldberg 表示,在某些情況下,向崩潰金庫的分配持續了數小時。
然而,混亂也帶來了創新,因為自動分配甚至被特別針對以釋放額外流動性。富有進取心的競爭對手 Obsidian 也利用了這一事件,向存款卡在流動性不足的 Morpho 金庫中的用戶提供遷移服務
評估損失
Morpho 的 Paul Frambot 統計了 15 個受影響的金庫,對 USR 的敞口超過 10,000 美元。
根據安全研究員 Weilin Li 的說法,受影響金庫的策展人,在 Morpho 和其他地方,包括 Gauntlet、Re7、MEV Capital、Extrafi、Seamless、August、Clearstar、kpk、Leyrock 和 9Summits。
對於那些關注 11 月崩盤的人來說,這些名字中的許多可能很熟悉。
Yearn 的貢獻者曾是導致 11 月崩盤的收益金庫最嚴厲的批評者之一,僅遭受了 377 美元的最小損失。
諷刺的是(或說明問題的是),Resolv 自己的風險管理公司 Steakhouse 並未暴露於 USR,儘管在駭客攻擊前五天聲稱「在運營上,Resolv 展現了機構級的嚴謹性」。
Inverse Finance 的 DOLA 穩定幣的支持間接暴露於 USR 的脫錨,該團隊承諾填補 34 萬美元的漏洞。
多個借貸市場暫停了 USR 市場,包括上週末本身也遭到駭客攻擊的 Venus Protocol 和 Lista。
Fluid 受創最嚴重,可能累積了高達 1,750 萬美元的壞賬。然而,該團隊向用戶保證,它已「獲得短期貸款以彌補 100% 的壞賬」。
它還考慮出售 FLUID 代幣「如果需要任何額外資金」。
在頂級借貸協議 Aave 經歷了幾個月的治理風波和預言機失誤後,Aave Labs 的 Stani Kulechov 熱衷於強調 Aave 沒有受到影響。
DeFi 菊花鏈
受單個私鑰洩露影響的平台網絡鮮明地提醒了我們,DeFi 的關鍵創新之一——互操作性——是一把雙刃劍。
自動化分配可能在正常情況下優化回報,但當出現問題時(這在 DeFi 中經常發生),就會出現意外行為。
在沒有自己的資金參與的情況下,目前的設置激勵「惡意博弈論推動[策展人]尋求更多風險」。
最新的事件再次呼籲策展人要有切身利益。一種方法是將存款分層,如果策展人的風險管理不當,他們將首先承受損失。
有消息要提供嗎?請通過 Protos Leaks 安全地向我們發送電子郵件。如需了解更多資訊,請在 X、Bluesky 和 Google News 上關注我們,或訂閱我們的 YouTube 頻道。
來源: https://protos.com/resolv-hack-shows-defi-learned-nothing-from-last-contagion/
