Resolv Labs жүйесіндегі қауіпсіздік ақауы шабуылшыға толық қамтылмаған USR стейблкоиндерін 80 млн доллардан астам сомаға шығаруына мүмкіндік беріп, токен өзінің доллармен байланысын жоғалтып, құны 25 центке дейін құлады.
Cyvers компаниясының Blockchain Security сарапшыларының айтуынша, осы эксплойт шығару логикасындағы ақауынан орын алған. Контрактілер аудиттен өткеніне қарамастан, бұл ақау тиісті тексерусіз рұқсатсыз шығару мүмкіндігін қалдырған.
Протоколдағы бұл эксплойт түсініксіз және ауқымды капитал кету кезеңінен кейін болды. BeInCrypto дерегі бойынша USR капитализациясы ақпан айының басында шамамен 400 млн доллардан бірнеше апта бұрын 100 млн доллар деңгейіне дейін күрт төмендеген.
USR 25 центке құлдырап, Resolv протоколды уақытша тоқтатты
Өтімділіктің мұндай жедел 75%-ға қысқаруы инсайдерлер немесе ірі инвесторлар апат алдында өз позицияларын жасырын жауып жатты ма деген маңызды сұрақтар туғызады.
Он-чейн деректерге қарағанда, шабуылшы бастапқыда 100 000 доллар көлеміндегі USD Coin пайдаланып, осалдықты іске қосқан.
Blockchain қауіпсіздік фирмасы PeckShield бағалауынша, жасанды шығарылған USR жалпы сомасы 80 млн долларды құрады. Компания мәліметі бойынша, шабуыл бастапқы 50 млн долларлық және кейінгі 30 млн долларлық шығарумен орындалған.
Эксплойтер қамтылмаған токендерді орталықтандырылмаған биржалардың өтімділік пулдарына бірден тастап жіберіп, 24 млн доллардан астам Ethereum-ды сәтті шығарып алған.
Нарыққа ауыр әсеріне қарамастан, Resolv Labs өзінің қамтамасыз етілген пулын «толығымен сақталған» деп мәлімдеп, негізгі активтер жоғалтпағанын айтты. Компанияның айтуынша, оның басты мақсаты — легитимді пайдаланушыларды зардаптардан қорғау.
Корпоративтік мәлімдеме нарық шындығымен мүлдем қабыспайды, өйткені USR ұстап отырған қарапайым инвесторлар 74%-ға құлдыраудан кейін қомақты шығынға ұшырап отыр. Resolv барлық протокол функцияларын белгісіз мерзімге тоқтатты.
Қауіпсіздік зерттеушілері бұл оқиға жетілдірілген криптографиялық шабуыл емес, жүйелік архитектурадағы өрескел немқұрайлылықтан туындады деп тұжырымдайды.
«Стейблкоин тәуекелі нақ осы жерде нақты сезіледі. Тек аудит жеткіліксіз, егер шығарылым мен ұсынысты нақты уақыт режимінде бақыламасаңыз, маңызды сәтте барлығы сіз үшін жабық. Әрбір протоколмен әрекет үнемі қадағаланып, шығарылымда, бағаларда немесе өтімділікте ерсі ауытқулар пайда болса, олар таралмай тұрып дереу тоқтатылуы тиіс. Осындай оқиғаларды тізбекке айналдырмай, оқшаулаудың жалғыз жолы осы», — деді Cyvers бас директоры және негізін қалаушысы Дедди Лавид BeInCrypto басылымына.
Блокчейн сарапшысы Эндрю Хонг қарапайым сыртқы иелік мекенжайы (EOA) протоколдағы маңызды «қызметтік рөлді» басқарғанын хабарлады.
Қауіпсіз мультиқолтаңбалы келісімшартты пайдаланудың орнына протокол бұл классикалық крипто әмиянды бір ғана жеке кілтпен қорғауға рұқсат берген.
Тексеру мақсатында DeFi платформасы YieldsAndMore атап өтті, бұл әкімшілік рөлде базалық қауіпсіздік қорғаулары, соның ішінде максималды шығару лимиттері мен баға-оракул тексерістері болмаған.
Салдарынан сарапшылар оқиға жеке кілттің бұзылуы немесе ықтимал инсайдерлік әрекетті айқын көрсетеді деп есептейді.
