هک Resolv نشان می‌دهد DeFi چیزی از سرایت آخر یاد نگرفته است

هک 23 میلیون دلاری استیبل کوین USR متعلق به Resolv در روز یکشنبه منجر به سرایت در بخش امور مالی غیر متمرکز با نام اختصاری دیفای شد.

معامله‌گران فرصت‌طلب از USR که از ارزش خود خارج شده بود برای استقراض استفاده کردند و نقدینگی را در بیش از ده‌ها استخر بازدهی تخلیه کردند.

برای بدتر شدن اوضاع، به اصطلاح "متولیان ریسک" به طور خودکار وجوه بیشتری را به بازارهای خراب تخصیص دادند زیرا نرخ وام افزایش یافته بود.

در نوامبر، سرایت مشابهی پس از اعلام ضرر 93 میلیون دلاری Stream Finance به اکوسیستم استخر "متولیان" امور مالی غیر متمرکز با نام اختصاری دیفای وارد شد که منجر به 75٪ xUSD شد.

علیرغم بحث‌ها درباره رتبه‌بندی ریسک و متولیانی که سرمایه اولین ضرر را در پی آن قرار دادند، به نظر می‌رسد که در نهایت چیز زیادی یاد گرفته نشده است.

بیشتر بخوانید: چهار ماه بعد، MEV Capital قربانی انفجار زنجیره‌ای 4 میلیارد دلاری امور مالی غیر متمرکز با نام اختصاری دیفای می‌شود

هک

بیانیه Resolv Labs تأیید کرد که به خطر افتادن کلید خصوصی منجر به "ضرب غیرمجاز (و نامحدود) تقریباً 80 میلیون دلار USR بدون وثیقه" شد.

عرضه توکن USR قبل از هک به طور کامل پشتیبانی می‌شود، با زیان‌هایی که از ارائه‌دهندگان نقدینگی (LP) در صرافی‌های غیرمتمرکز ناشی می‌شود زیرا هکر توکن‌های ضرب شده را فروخت. به عنوان مثال، تخمین زده می‌شود که LP‌ها فقط در Curve Finance 17 میلیون دلار ضرر کرده‌اند.

فروش هکر باعث خروج USR از ارزش شد که طبق داده‌های CoinMarketCap در حال حاضر با قیمت 0.23 دلار معامله می‌شود. شرکت امنیتی بلاک چین Beosin سود مهاجم را 11,409 اتر (ETH) اعلام کرده که در زمان نگارش بیش از 23 میلیون دلار ارزش دارد.

تیم Resolv به دلیل زمان واکنش کند در حین جمع‌آوری امضاهای چندامضایی لازم برای توقف پروتکل مورد انتقاد قرار گرفت.

با سوءاستفاده‌کننده در زنجیره تماس گرفته و درخواست بازگشت 90٪ ETH تبدیل شده و همچنین USR باقیمانده را کرده است.

بیشتر بخوانید: هکر Venus Protocol پس از نه ماه برنامه‌ریزی 4.7 میلیون دلار ضرر کرد

عواقب

هک ممکن است ساده بوده باشد، اما اثرات زنجیره‌ای آن هیچ چیز جز این نبوده است.

معامله‌گران فرصت‌طلب به USR که از ارزش خارج شده بود حمله کردند و از آن برای تخلیه استخرهای بازدهی با اوراکل‌های قیمتی کدگذاری شده استفاده کردند. با خرید USR ارزان برای استفاده به عنوان وثیقه، کاربران می‌توانستند دارایی های دیگری مانند USDC را قرض بگیرند، گویی که USR هنوز 1 دلار ارزش دارد.

بیشتر بخوانید: خطای اوراکل به آشفتگی در غول امور مالی غیر متمرکز با نام اختصاری دیفای Aave اضافه می‌کند

گویی که اوضاع به اندازه کافی بد نبود، استراتژی‌های خودکار "متولیان ریسک" سپس وجوه بیشتری را به بازارهای آسیب‌دیده تخصیص دادند که استفاده بالای آنها بازدهی عرضه را افزایش داده بود.

Omer Goldberg از Chaos Labs توضیح داد که چگونه ویژگی تخصیص‌دهنده عمومی Morpho به متولیان "از جمله Gauntlet، re7، kpk و 9summits" اجازه داد تا میلیون‌ها دلار دارایی را به بازارها "بر اساس سقف‌ها و خطوط اعتباری از پیش پیکربندی شده و تأیید شده" تخصیص دهند. 

Goldberg می‌گوید که در برخی موارد، تخصیص به استخرهای خراب ساعت‌ها ادامه یافت.

با این حال، هرج و مرج همچنین نوآوری را به همراه داشت، زیرا تخصیص‌های خودکار حتی به طور خاص برای آزادسازی نقدینگی اضافی هدف قرار گرفتند. رقبای کارآفرین Obsidian نیز از این حادثه سود بردند و خدمات مهاجرت را به کاربرانی که سپرده‌های آنها در استخرهای غیرنقدشونده Morpho گیر کرده است، ارائه دادند

ارزیابی خسارت

Paul Frambot از Morpho 15 استخر آسیب‌دیده با بیش از 10,000 دلار در معرض USR را شمارش کرد.

به گفته محقق امنیتی Weilin Li، متولیان استخرهای آسیب‌دیده در Morpho و جاهای دیگر شامل Gauntlet، Re7، MEV Capital، Extrafi، Seamless، August، Clearstar، kpk، Leyrock و 9Summits هستند. 

برای کسانی که سقوط نوامبر را دنبال کردند، بسیاری از این نام‌ها ممکن است آشنا باشند.

Yearn که مشارکت‌کنندگان آن در میان شدیدترین منتقدان استخرهای بازدهی بودند که منجر به سقوط نوامبر شد، زیان حداقلی 377 دلاری را متحمل شد.

از قضا (یا گویا)، مدیر ریسک خود Resolv، Steakhouse، در معرض USR قرار نداشت، علیرغم اینکه فقط پنج روز قبل از هک اعلام کرد که "از نظر عملیاتی، Resolv دقت نهادی را نشان می‌دهد".

پشتیبانی از استیبل کوین DOLA متعلق به Inverse Finance به طور غیرمستقیم در معرض خروج USR از ارزش قرار گرفت و تیم متعهد شد که حفره 340,000 دلاری را پر کند.

تعدادی از بازارهای وام‌دهی بازارهای USR را متوقف کردند، از جمله Venus Protocol که خود آخر هفته گذشته هک شد، و Lista. 

Fluid بدترین ضربه را خورد و ممکن است تا 17.5 میلیون دلار بدهی معوق انباشته شده باشد. با این حال، تیم به کاربران اطمینان داد که "وام‌های کوتاه‌مدت را برای پوشش 100٪ بدهی معوق تأمین کرده است".

همچنین فروش توکن‌های FLUID را "در صورت نیاز به وجوه اضافی" در نظر می‌گیرد.

پس از چند ماه پرمخاطره برای پروتکل وام‌دهی برتر Aave، با درام حاکمیتی و اشتباه اوراکل، Stani Kulechov از Aave Labs مشتاق بود که فقدان قرارگیری در معرض Aave را برجسته کند.

زنجیره امور مالی غیر متمرکز با نام اختصاری دیفای

شبکه پلتفرم‌هایی که تحت تأثیر به خطر افتادن یک کلید خصوصی واحد قرار گرفته‌اند، یادآور تلخی است از اینکه چگونه یکی از نوآوری‌های کلیدی امور مالی غیر متمرکز با نام اختصاری دیفای، قابلیت همکاری بلاک چین، شمشیری دو لبه است.

تخصیص خودکار ممکن است بازده را در شرایط عادی بهینه کند، اما وقتی چیزها خراب می‌شوند، که اغلب در امور مالی غیر متمرکز با نام اختصاری دیفای این اتفاق می‌افتد، رفتار ناخواسته دنبال می‌شود.

بدون وجوه خود در بازی، تنظیمات فعلی "تئوری بازی مخرب را تشویق می‌کند که [متولیان] را به دنبال ریسک بیشتری می‌کشد".

این اپیزود اخیر درخواست‌ها را برای داشتن سهم متولیان در بازی تجدید کرده است. یک رویکرد تقسیم‌بندی سپرده‌ها است، که متولیان در صورت "متولی" نادرست ریسک خود، اول از دست می‌دهند.

نکته دارید؟ از طریق Protos Leaks به صورت ایمن برای ما ایمیل ارسال کنید. برای اخبار آگاهانه‌تر، ما را در X، Bluesky و Google News دنبال کنید، یا در کانال YouTube ما مشترک شوید.