De hack van $23 miljoen op Resolv's stablecoin USR op zondag heeft geleid tot besmetting in de hele DeFi-sector.
Opportunistische handelaren gebruikten de gedepegde USR om tegen te lenen, waardoor de liquiditeit in meer dan een dozijn yield vaults werd weggetrokken.
Om de zaken nog erger te maken, wezen zogenaamde "risico-curatoren" vervolgens automatisch meer fondsen toe aan kapotte markten naarmate de leenrentes stegen.
In november trof een vergelijkbare besmetting het "gecureerde" vault-ecosysteem van DeFi nadat Stream Finance een verlies van $93 miljoen aankondigde, wat leidde tot een daling van 75% van xUSD.
Ondanks discussies over risicobeoordelingen en curatoren die first-loss kapitaal inbrengen in de nasleep, lijkt er uiteindelijk niet veel geleerd te zijn.
Lees meer: Vier maanden later valt MEV Capital ten prooi aan $4 miljard DeFi-domino-implosie
De hack
De verklaring van Resolv Labs bevestigde dat een compromittering van een private key leidde tot het ongeautoriseerde (en onbeperkte) "minten van ongeveer $80 miljoen aan niet-gedekte USR."
Het token-aanbod van USR van vóór de hack blijft volledig gedekt, waarbij de verliezen voortkomen uit liquiditeitsverschaffers (LP's) op gedecentraliseerde beurzen toen de hacker de geminte tokens verkocht. Zo worden de verliezen van LP's op alleen Curve Finance geschat op $17 miljoen.
De uitverkoop door de hacker veroorzaakte een depeg van USR, die momenteel handelt tegen $0,23, volgens gegevens van CoinMarketCap. Blockchain-beveiligingsbedrijf Beosin schat de winst van de aanvaller op 11.409 ether (ETH), ter waarde van meer dan $23 miljoen op het moment van schrijven.
Het Resolv-team kreeg kritiek op de trage reactietijd tijdens het verzamelen van de benodigde multisig-handtekeningen om het protocol te pauzeren.
Het heeft on-chain contact opgenomen met de exploiter en verzoekt om terugbetaling van 90% van de omgezette ETH, evenals de resterende USR.
Lees meer: Venus Protocol-hacker verloor $4,7 miljoen na negen maanden planning
De gevolgen
De hack was misschien eenvoudig, maar de knock-on effecten zijn allesbehalve dat.
Gedepegde USR werd aangegrepen door opportunistische handelaren die het gebruikten om yield vaults met hardcoded prijsorakels leeg te trekken. Door goedkope USR te kopen om als onderpand te gebruiken, konden gebruikers andere activa lenen, zoals USDC, alsof USR nog steeds $1 waard was.
Lees meer: Oracle-fout draagt bij aan tumult bij DeFi-gigant Aave
Alsof de zaken nog niet erg genoeg waren, wezen automatische strategieën van "risico-curatoren" vervolgens verdere fondsen toe aan de getroffen markten, waarvan het hoge gebruik de aanbodrendementen had doen stijgen.
Omer Goldberg van Chaos Labs legde uit hoe de Public Allocator-functie van Morpho curatoren "waaronder Gauntlet, re7, kpk en 9summits" in staat stelde om miljoenen dollars aan activa automatisch toe te wijzen aan markten "op basis van vooraf geconfigureerde en goedgekeurde limieten en kredietlijnen."
In sommige gevallen, zegt Goldberg, ging de toewijzing aan kapotte vaults urenlang door.
De chaos bracht echter ook innovatie, aangezien de automatische toewijzingen zelfs specifiek waren gericht op het vrijmaken van extra liquiditeit. Ondernemende concurrent Obsidian kapitaliseerde ook op het incident door een migratieservice aan te bieden aan gebruikers wier deposito's vastzitten in illiquide Morpho-vaults
De schade beoordelen
Paul Frambot van Morpho telde 15 getroffen vaults met meer dan $10.000 aan blootstelling aan USR.
Volgens beveiligingsonderzoeker Weilin Li omvatten curatoren van de getroffen vaults, op Morpho en elders, Gauntlet, Re7, MEV Capital, Extrafi, Seamless, August, Clearstar, kpk, Leyrock en 9Summits.
Voor degenen die de ineenstorting van november volgden, zijn veel van deze namen wellicht bekend.
Yearn, wiens bijdragers tot de felste critici behoorden van de yield vaults die leidden tot de crash van november, leed een minimaal verlies van $377.
Ironisch genoeg (of veelzeggend) had Resolv's eigen risicomanager, Steakhouse, geen blootstelling aan USR, ondanks de verklaring dat "operationeel gezien Resolv institutionele nauwgezetheid toont" slechts vijf dagen voor de hack.
De dekking van Inverse Finance's DOLA-stablecoin was indirect blootgesteld aan de depeg van USR, waarbij het team beloofde het gat van $340.000 te dichten.
Een aantal leenmarkten pauzeerden USR-markten, waaronder Venus Protocol, dat zelf afgelopen weekend werd gehackt, en Lista.
Fluid werd het zwaarst getroffen en heeft mogelijk tot $17,5 miljoen aan oninbare schulden opgebouwd. Het team stelde gebruikers echter gerust dat het "kortlopende leningen heeft geregeld om 100% van de oninbare schulden te dekken."
Het overweegt ook de verkoop van FLUID-tokens "mochten er extra fondsen nodig zijn."
Na een hachelijke paar maanden voor leidende leenprotocol Aave, met governance-drama en een oracle-misser, wilde Stani Kulechov van Aave Labs graag de afwezigheid van blootstelling van Aave benadrukken.
DeFi-dominoketen
Het web van platforms dat werd getroffen door de compromittering van een enkele private key is een scherpe herinnering aan hoe een van DeFi's belangrijkste innovaties, interoperabiliteit, een tweesnijdend zwaard is.
Geautomatiseerde toewijzing kan rendementen optimaliseren onder normale omstandigheden, maar wanneer dingen kapotgaan, wat ze vaak doen in DeFi, volgt onbedoeld gedrag.
Zonder hun eigen fondsen in het spel, stimuleert de huidige opzet "kwaadaardige speltheorie die [curatoren] aanzet tot het zoeken naar meer risico."
Deze laatste episode heeft hernieuwde oproepen gedaan voor curatoren om skin in the game te hebben. Een benadering is tranching van deposito's, waarbij curatoren als eerste verliezen lijden als hun risico onbehoorlijk is "gecureerd."
Heeft u een tip? Stuur ons veilig een e-mail via Protos Leaks. Voor meer geïnformeerd nieuws, volg ons op X, Bluesky, en Google News, of abonneer u op ons YouTube kanaal.
Bron: https://protos.com/resolv-hack-shows-defi-learned-nothing-from-last-contagion/
