Глибокий дослідницький звіт про інцидент з хакерством протоколу Resolv, хто є остаточним платником?

Основне резюме

Метод атаки: Зловмисник використав приблизно 100 000 доларів США USDC, щоб експлуатувати критичну вразливість у функції карбування USR — можливо, через маніпульовані оракули, витік поза ланцюгових ключів підписувачів або відсутність валідації суми між запитами на карбування та виконанням — в результаті чого було створено 80 мільйонів USR (вартістю близько 80 мільйонів доларів), які потім були швидко обміняні на реальні активи.

Шлях арбітражу: Зловмисник продавав незаконно карбовані USR партіями в ліквідні пулі, такі як Curve Finance, що призвело до падіння ціни USR до 2,5 центів, отримавши приблизно 25 мільйонів доларів серед хаосу знецінення, а потім конвертував прибутки від арбітражу в ETH, щоб завершити виведення.

Розподіл збитків: Згідно з логікою дизайну двошарової ризикової архітектури Resolv, нестача забезпечення, викликана цією атакою, спочатку покривається тримачами страхового пулу RLP (ціна RLP знизиться, оскільки чиста вартість активів протоколу зменшується), тоді як тримачі USR теоретично захищені до моменту, поки протокол не призупинить викуп; однак позиції з важелем USR на кредитних протоколах, таких як Morpho, зіткнулися з примусовою ліквідацією через знецінення, що призвело до вторинних збитків.

Постраждалі протоколи: Основні DeFi протоколи, які постраждали, включають: Curve Finance (ліквідний пул USR/USDC миттєво зруйнувався), Morpho (позиції USR з важелем як забезпечення викликали ліквідацію), Fluid та Euler (які також мали позиції USR/RLP).

Попередження для галузі: Цей інцидент виявляє фундаментальну слабкість дельта-нейтральних стейблкоїнів — з'єднання логіки карбування з поза ланцюговими підписами/оракулами є найбільш вразливою атакуючою поверхнею системи. Будь-який дизайн капітальної ефективності "1 долар карбує 1 долар" повинен базуватися на надзвичайно строгих аудитах безпеки контрактів.

Я. RESOLV та USR: Розуміння цієї системи для розуміння атаки

Перед обговоренням атаки ми повинні уточнити, як працює USR — оскільки зловмисник експлуатував найгеніальнішу, але крихку частину його дизайну.

Основний механізм USR: Дельта-нейтральний стейблкоїн

USR не є стейблкоїном, що забезпечується банківськими депозитами, як USDT, і не є надмірно забезпеченим стейблкоїном, як DAI. Це дельта-нейтральний стейблкоїн — структура, яка досягає чистої нейтральності ризику, "утримуючи спот ETH, одночасно коротячи безстрокові контракти на ETH" [Примітка 1].

Логіка така:
Коли ви вносите ETH на суму 1 долар для випуску 1 USR, протокол Resolv одночасно відкриває еквівалентну коротку позицію на ринку безстрокових контрактів. Якщо ETH зростає, спот приносить прибуток, тоді як контракт зазнає збитків; якщо ETH падає, контракт приносить прибуток, тоді як спот зазнає збитків — ці два компенсують один одного, зберігаючи чисту вартість активу приблизно рівною 1 долару. Це відокремлює USR від ціни ETH, зберігаючи прив'язку 1:1 до долара [Примітка 2].

Перевага цієї структури полягає в її високій капіталовій ефективності: вам потрібно лише ETH на суму 1 долар для випуску 1 USR без необхідності надмірного забезпечення. Джерело доходу походить з фінансової ставки хеджевої позиції (плата, яку сплачують довгі позиції коротким) та винагород за стейкінг ETH, що дозволяє тримачам USR отримувати приблизно 5-6% річних, причому стейкована версія stUSR приносить ще вищі ставки [Примітка 3].

Двошарова структура: Ізоляція ризиків USR та RLP

Щоб вирішити питання "хто несе операційний ризик протоколу", Resolv розробив структуру з двома токенами:

Шар USR (високий пріоритет): Тримачі користуються захистом стабільної прив'язки, і збитки не несуть на собі;

Шар RLP (молодша частка): Тримачі RLP діють як "страховий пул" протоколу, несучи ринковий ризик, ризик контрагента (такий як тривалі негативні фінансові ставки) та потенційні ризики контрактів, отримуючи вищі доходи (20-40% річних) як компенсацію [Примітка 4].

Правила чіткі: будь-які збитки спочатку відшкодовуються з RLP, а потім з USR. Коли коефіцієнт забезпечення USR падає нижче 110%, викуп RLP буде автоматично заморожено, щоб пріоритетно захистити тримачів USR [Примітка 5].

Це ключове припущення для розуміння розподілу збитків від цієї атаки.

Ядро атаки: Що пішло не так з функцією карбування?

Це наразі найкритичніша та найменш завершена частина інформації. Дані в блокчейні підтвердили одне: зловмисник "придбав" активи на $50 мільйонів у USR за $100,000 USDC [1]. Цей коефіцієнт карбування 1:500 вказує на те, що валідація суми контракту для карбування повністю провалилася.

Криптофонд D2 Finance запропонував три можливі гіпотези шляхів атаки [Примітка 9]:

Гіпотеза A: Маніпуляція з оракулом. Ціна карбування USR залежить від цінових оракулів. Якщо зловмисник може тимчасово знизити котирування оракула в транзакції (наприклад, шляхом обвалу ціни через миттєвий кредит), контракт може вважати, що вартість активу, внесеного користувачем, вища, що дозволяє карбувати надмірну кількість USR [6].

Гіпотеза B: Компрометація підписувача поза ланцюгом. Процес карбування Resolv включає етап перевірки підпису поза ланцюгом — запити на карбування користувачів повинні бути підписані бекенд-сервісом протоколу для виконання. Якщо цей ключ підпису буде вкрадено, зловмисник може підробити легітимні інструкції для карбування на будь-яку суму, обходячи всі обмеження на ланцюзі [2].

Гіпотеза C: Відсутня валідація суми між запитом і виконанням. Процес карбування поділяється на "ініціювання запиту" та "виконання карбування." Якщо контракт не перевіряє строго, що остаточна сума виконання відповідає запитуваній сумі під час виконання, зловмисник може підробити параметри між ініціюванням запиту та виконанням, досягаючи надмірного карбування.

На момент написання цього звіту Resolv ще не опублікував повний аналіз корінних причин (RCA) вразливості, тому пріоритет вище зазначених трьох гіпотез не може бути остаточно підтверджений.

Виходячи з наслідків атаки, гіпотеза B (компрометація ключа підписувача) або гіпотеза C (відсутня логіка валідації) здаються більш ймовірними — оскільки маніпуляція з оракулом зазвичай вимагає значних коштів і важко досягти таких екстремальних відхилень у цінах; тоді як 80 мільйонів USR, що були карбовані, залучали дуже обмежені кошти зловмисника, що більше відповідає характеристикам "обходу валідації контракту."

Як зловмисник вивів гроші: Підручник сценарію виходу з DeFi

Отримавши 80 мільйонів USR, зловмисник зіткнувся з викликом, як перетворити неправильно випущені стейблкоїни на реальну вартість.

D2 Finance назвав це "сценарієм виходу з DeFi на рівні підручника": зловмисник надсилав USR партіями до кількох ліквідних протоколів, надаючи пріоритет великій продажу в пулі USR/USDC Curve Finance (найбільший ліквідний пул для USR з щоденним обсягом торгівлі в 3,6 мільйона доларів) [10].

Оскільки ліквідність Curve обмежена, коли 80 мільйонів USR раптово надійшли, пул був повністю переповнений — ціна USR впала з 1 долара до 2,5 центів за 17 хвилин. Зловмисник не очікував продати все за 1 долар, але мав намір поступово обміняти його на USDC/USDT в діапазоні від 0,25 до 0,50 долара, зрештою перетворивши арбітражні кошти на ETH для завершення виведення.

PeckShield оцінив, що остаточна сума виведення становила близько 25 мільйонів доларів [11] — враховуючи втрати через слипові ефекти, викликані продажем великої кількості USR за надзвичайно низькими цінами, ця цифра свідчить про те, що фактична ставка вилучення зловмисника становила близько 30% (25 мільйонів доларів/80 мільйонів доларів). Залишок 70% "вартості" зник у величезних слипових ефектах, викликаних виснаженням ліквідності.

III. Після де-пегування: Що сталося з USR, RLP та системою забезпечення

Співвідношення забезпечення USR миттєво обвалилося

У нормальному режимі роботи USR підтримується 1:1 ETH + хеджевими позиціями. Однак після того, як в систему було випущено 80 мільйонів незабезпечених USR, реальні активи, що відповідають всьому постачанню USR, були далеко не достатніми для викупу 1:1 — співвідношення забезпечення значно впало нижче 100%.

Це безпосередньо спровокувало захисний механізм шару RLP — протокол теоретично заморозить викуп RLP, щоб надати пріоритет захисту власників USR. Однак в той же час, оскільки USR вже втратив прив'язку (торгуючи приблизно по 0,87 долара на вторинному ринку), власники USR також зазнали збитків від продажу за ринковими цінами.

Каскадні ліквідації в кредитних протоколах

Це один з найбільш недооцінених побічних збитків у цьому інциденті.

Зростання Resolv значною мірою залежало від стратегії: користувачі вносили USR як забезпечення в кредитні протоколи, такі як Morpho, Fluid і Euler, позичали USDC, а потім купували більше USR, створюючи важелі позицій, деякі користувачі мали коефіцієнти важелів до 10 разів [3].

Коли ціна USR впала з 1 долара до 0,87 долара або навіть нижче, вартість забезпечення цих важелевих позицій миттєво зникла більш ніж на 13%. Оскільки кредитні протоколи автоматично примушують ліквідацію, коли співвідношення забезпечення падає нижче лінії ліквідації, велика кількість USR була ліквідована ботами, що ще більше заполонило вторинний ринок USR, що ще більше знизило ціни — створюючи класичний тиск смерті спіралі [7].

Morpho мав спеціалізований "MEV Capital Resolv USR Vault", з TVL, який досяг значного масштабу до атаки, і ці позиції були основними носіями збитків від забезпечення [4].

Драматичне зменшення TVL протоколу

TVL Resolv зріс до кількох сотень мільйонів доларів до атаки (досягнувши піку понад 650 мільйонів доларів, в основному завдяки позиковим позиціям на Morpho та Euler). Після призупинення протоколу користувачі не могли викупити USR, а розрахунок показника TVL також потрапив у хаос через відв'язування USR [5].

IV. Хто несе збитки? Аналіз ризикових експозицій

Власники RLP за дизайном є першим шаром збитків. Недостатність забезпечення, викликана атакою (80 мільйонів незабезпечених USR, випущених в обіг), безпосередньо відобразиться як зниження чистої вартості RLP — ціна RLP є свідоцтвом власності на надмірно забезпечену частину протоколу. Коли протокол в цілому зазнає непокритих боргів, RLP спочатку знеціниться [6].

Власники позикових позицій USR є тими, хто зазнає найбільших фактичних збитків. Вони не тільки стикаються з ліквідацією (лікідація зазвичай супроводжується штрафом у 5-10%), але й продавали свої активи нижче прив'язаного ціни під час відв'язування USR, що посилило їхні збитки.

Постачальники ліквідності Curve LP несуть тимчасові збитки — коли атакуючий продав велику кількість USR, пул LP пасивно поглинув велику кількість USR (продаючи USDC і утримуючи більше низькоцінного USR), що призвело до арбітражних збитків [8].

Звичайні власники USR: Згідно з дизайном, якщо протокол нормально активує механізм призупинення, власники USR можуть викупити за співвідношенням 1:1 з залишковим реальним забезпеченням. Однак проблема в тому, що після атаки протокол призупинив усі функції, вікно викупу закрите, а фактичні продавці можуть лише здійснювати угоди за ринковою ціною 0,87 долара, несучи збитки від відв'язування на 13%.

V. Аварійна реакція: Заходи, вжиті командою RESOLV

Перша реакція команди Resolv полягала в тому, щоб негайно призупинити всі функції протоколу, включаючи випуск, викуп та перекази, щоб перекрити подальші операційні канали зловмисника [1].

На момент написання цього звіту Resolv публічно підтвердив факт атаки, але повний звіт про аналіз після інциденту та формальний план компенсації ще не були опубліковані. Це відповідає типовій хронології реакції на інциденти безпеки DeFi — команді зазвичай потрібно 48-72 години для завершення збору доказів в блокчейні та підтвердження вразливостей перед оголошенням детальних планів усунення.

Варто зазначити, що Resolv раніше співпрацював з Immunefi для створення програми винагород за виявлення помилок та впровадив проактивну систему моніторингу безпеки Hypernative [7]. Остання повинна теоретично бути здатною вловлювати ранні сигнали попередження про аномальні події випуску — це піднімає питання, чи була система попередження активована вчасно, чи швидкість атаки перевищила вікно для людського втручання.

Враховуючи екстремальну швидкість, з якою USR впав до 2,5 центів за 17 хвилин, ефективність виконання атаки була надзвичайно високою, з дуже обмеженим вікном часу для реагування.

VI. Попередження для подібних протоколів: Системні ризики дельта-нейтральних стейблкоїнів

Інцидент з Resolv не є ізольованим; це типовий випадок невдачі з значними наслідками в просторі DeFi "синтетичного долара".

Основний урок перший: Офлайн-підписанти є централізованою небезпекою. Дельта-нейтральні стейблкоїни часто впроваджують офлайн-сервіси для перевірки замовлень, щоб досягти ефективного випуску. Цей "офлайн-компонент" є по суті централізованим вузлом влади — якщо його приватний ключ буде витікати, зловмисник фактично отримує права на випуск протоколу. Це переносить слабкості безпеки Web2 у Web3 [8].

Основний урок другий: "1:1 капітальна ефективність" є двосічним мечем. Дизайнерська філософія систем з надмірним забезпеченням (як MakerDAO) полягає в тому, що навіть якщо контракт має незначні вразливості, надлишкове забезпечення може поглинути деякі втрати. Дельта-нейтральна система зменшує буфер до нуля — будь-яка помилка в логіці випуску безпосередньо викликає пропорційний дефіцит системи, без жодної надмірності.

Основний урок третій: Швидке зростання TVL випереджає аудити. Resolv виріс з менш ніж 50 мільйонів доларів у TVL до понад 650 мільйонів доларів всього за три місяці, в основному завдяки використанню стратегій з важелями на Morpho. Швидка експансія складності системи та точок інтеграції створила величезний тиск на аудити. Схожі уроки спостерігалися протягом історії DeFi: Euler Finance (березень 2023 року, збиток 197 мільйонів доларів), Inverse Finance (квітень 2022 року, 15,6 мільйона доларів) є трагедіями "раціональності дизайну, але з логікою емісії/позики, що має детальні недоліки" [9].

VII. Основний висновок

Цей напад виявляє не лише вразливість контракту, але й глибокий внутрішній конфлікт в архітектурі дельта-нейтральних стейблкоїнів.

Точка відліку цієї історії - амбітний дизайн USR: не покладатися на фіатні резерви, не покладатися на надмірну заставу, а лише залежати від хеджування деривативів для досягнення капітальної ефективності 1:1. Цей дизайн ідеально працює в підйомній фазі — користувачі емісують 1 USR за 1 долар вартості ETH, протокол винагороджує користувачів ставками фінансування, і сотні мільйонів TVL швидко накопичуються.

Однак "капітальна ефективність 1:1" одночасно означає, що система не має жодного буфера застави. Якщо в логіці емісії виникає вразливість — чи то через витік ключів підписувачів поза ланцюгом, чи через відсутність валідації між запитом і виконанням — зловмисник може створити будь-яку кількість стейблкоїнів майже безкоштовно. Це не схоже на системи з надмірною заставою, які мають страховий механізм; це безпосередньо проникає в систему.

Народження 80 мільйонів USR коштувало лише 100 000 доларів, 17 хвилин і цінового дна в 2,5 центи. Зловмисник витягнув 25 мільйонів доларів у реальній вартості, залишивши протокол з чорною дірою, що чекає на ремонт — і рахунком, написаним тримачами RLP, користувачами з важелями та Curve LP, які всі несуть реальні витрати.

Збитки для сусідніх протоколів, таких як Curve, Morpho, Fluid і Euler, відображають інший бік "гиперкомпозованості" світу DeFi: інтеграція між протоколами підсилює прибутки в нормальні часи, але також підсилює ризики в часи кризи. Врешті-решт, попереджувальне значення цього інциденту полягає в тому, що в DeFi кожне вікно ефективності, яке ви відкриваєте, є поверхнею атаки, яку ви відкриваєте. Існування підписувачів поза ланцюгом робить протокол більш гнучким, але також вводить централізовану фатальну слабкість.

Примітки

[Примітка 1] Дельта Нейтраль: Термін фінансових деривативів. Дельта вимірює чутливість ціни активу до змін ціни базового активу. "Дельта=0" означає, що позиція не приносить прибутку і не зазнає збитків від коливань ціни базового активу — тобто, вона повністю застрахована. Для Resolv утримання активів на суму 1 долар США в ETH (Дельта=+1) при короткій позиції на еквівалентну суму ф'ючерсів на ETH (Дельта=-1) призводить до чистої дельти=0, отже, це називається "дельта-нейтральним".

[Примітка 2] Перпетуальні ф'ючерси: Тип ф'ючерсного контракту без терміну дії, основний деривативний інструмент на ринку криптовалют. Утримання короткого перпетуального контракту означає отримання прибутку, коли ціни ETH падають, і збитків, коли вони зростають, таким чином хеджуючи ціновий ризик спотового ETH.

[Примітка 3] Фінансова ставка: Механізм балансування на ринку перпетуальних ф'ючерсів. Коли довгі позиції перевищують короткі позиції, довгі періодично сплачують "фінансові збори" коротким, і навпаки. Як коротка сторона, Resolv зазвичай продовжує отримувати фінансові збори на бичачому крипторинку, що є його основним джерелом доходу.

[Примітка 4] Молодша транша: У фінансовій багатошаровій структурі інвестори молодшої транші першими зазнають збитків, коли вони виникають (еквівалентно "першому збитку"), але вони також можуть отримувати вищу компенсацію за ризик під час розподілу прибутку. RLP виступає як молодша транша протоколу Resolv, тоді як USR виступає як старша транша.

[Примітка 5] Лінія тригера співвідношення забезпечення 110%: Це означає, що загальна вартість активів забезпечення USR становить 1,1 разу від загальної циркуляції USR. Нижче цієї лінії викуплення RLP призупиняються, щоб забезпечити пріоритет залишкових активів для викуплення тримачами USR.

[Примітка 6] Швидкий кредит: Унікальний інструмент незабезпеченого кредитування в DeFi, що вимагає завершення позики та погашення в межах однієї транзакції (в одному блоці). Зловмисники можуть тимчасово отримувати великі суми коштів для маніпуляції цінами, якщо вони погасити до завершення транзакції, не несучи майже жодних витрат на капітал.

[Примітка 7] Смертельна спіраль: Самопідтримуваний колапс під час зменшення боргового навантаження: ціни на активи падають → викликаючи ліквідацію → більше активів продається → ціни падають ще більше → викликаючи ще більше ліквідацій, і так далі.

[Примітка 8] Тимчасові втрати: Унікальний ризик, з яким стикаються постачальники ліквідності автоматизованих маркет-мейкерів (AMM). Коли співвідношення цін двох активів у пулі відхиляється від початкового стану, вартість портфеля активів постачальника ліквідності буде нижчою, ніж безпосереднє володіння цими двома активами, і ця різниця є тимчасовими втратами.

[Примітка 9] Аналіз D2 Finance / CoinTelegraph, цитуючи коментар D2 Finance: "Або oracle був зламаний, або підписувач поза ланцюгом був скомпрометований, або валідація суми між запитом і виконанням просто відсутня." Той же джерело.

[Примітка 10] CoinTelegraph повідомив, що 24-годинний обсяг торгів USR у пулі Curve USR/USDC становив 3,6 мільйона доларів, а ціна впала до 2,5 центів о 2:38 UTC.

[Примітка 11] Оцінка даних PeckShield, цитуючи те ж джерело CoinTelegraph: "PeckShield оцінив, що зловмисник зміг витягти близько 25 мільйонів доларів з атаки на фоні знецінення USR."