Der Hack von Resolvs Stablecoin USR im Wert von 23 Millionen Dollar am Sonntag hat zu einer Ansteckung im gesamten DeFi-Sektor geführt.
Opportunistische Händler nutzten den depegged USR als Sicherheit für Kredite und entzogen dabei über ein Dutzend Ertragsvaults Liquidität.
Um die Sache noch schlimmer zu machen, haben sogenannte "Risikokuratoren" dann automatisch weitere Mittel in defekte Märkte allokiert, als die Kreditzinsen in die Höhe schossen.
Im November traf eine ähnliche Ansteckung das "kuratierte" Vault-Ökosystem von DeFi (Dezentralisierte Finanzen), nachdem Stream Finance einen Verlust von 93 Millionen Dollar bekannt gab, was zu einem 75%-Rückgang von xUSD führte.
Trotz Diskussionen über Risikobewertungen und Kuratoren, die im Nachhinein First-Loss-Kapital bereitstellen, scheint letztendlich nicht viel gelernt worden zu sein.
Weiterlesen: Vier Monate später fällt MEV Capital der 4-Milliarden-Dollar-DeFi-Kettenimplosion zum Opfer
Der Hack
Die Erklärung von Resolv Labs bestätigte, dass eine Kompromittierung eines privaten Schlüssels zur unbefugten (und uneingeschränkten) "Prägung von etwa 80 Millionen Dollar unbesichertem USR" führte.
Das Token-Angebot von USR vor dem Hack bleibt vollständig gedeckt, wobei die Verluste von Liquiditätsanbietern (LPs) auf dezentralen Börsen stammen, da der Hacker die geprägten Token verkaufte. Beispielsweise wird geschätzt, dass LPs allein auf Curve Finance 17 Millionen Dollar verloren haben.
Der Ausverkauf des Hackers verursachte einen Depeg von USR, der laut CoinMarketCap-Daten derzeit bei 0,23 Dollar gehandelt wird. Die Blockchain-Sicherheitsfirma Beosin beziffert die Gewinne des Angreifers auf 11.409 Ether (ETH), was zum Zeitpunkt des Verfassens über 23 Millionen Dollar wert ist.
Das Resolv-Team sah sich Kritik wegen langsamer Reaktionszeit ausgesetzt, während es die notwendigen Multisig-Signaturen sammelte, um das Protokoll zu pausieren.
Es hat den Exploiter On-Chain kontaktiert und die Rückgabe von 90% des konvertierten ETH sowie des verbleibenden USR gefordert.
Weiterlesen: Venus Protocol-Hacker verlor 4,7 Millionen Dollar nach neun Monaten Planung
Die Folgen
Der Hack mag einfach gewesen sein, aber die Folgewirkungen waren alles andere als das.
Depegged USR wurde von opportunistischen Händlern aufgegriffen, die ihn nutzten, um Ertragsvaults mit hartcodierten Preisorakeln leerzusaugen. Durch den Kauf von billigem USR als Sicherheiten konnten Benutzer andere Vermögenswerte wie USDC leihen, als ob USR immer noch 1 Dollar wert wäre.
Weiterlesen: Oracle-Fehler verschärft Turbulenzen beim DeFi-Giganten Aave
Als ob die Dinge nicht schlimm genug wären, allozierten dann automatisierte Strategien der "Risikokuratoren" weitere Mittel in die betroffenen Märkte, deren hohe Auslastung die Angebotserträge in die Höhe getrieben hatte.
Omer Goldberg von Chaos Labs erklärte, wie die Public Allocator-Funktion von Morpho es Kuratoren "einschließlich Gauntlet, re7, kpk und 9summits" ermöglichte, Vermögenswerte im Wert von Millionen Dollar automatisch in Märkte zu allozieren "basierend auf vorkonfigurierten und genehmigten Obergrenzen und Kreditlinien."
In einigen Fällen, so Goldberg, ging die Allokation in defekte Vaults stundenlang weiter.
Das Chaos brachte jedoch auch Innovationen, da die Auto-Allokationen sogar gezielt eingesetzt wurden, um zusätzliche Liquidität freizusetzen. Unternehmungslustige Konkurrenten wie Obsidian nutzten den Vorfall ebenfalls und boten einen Migrationsdienst für Benutzer an, deren Einlagen in illiquiden Morpho-Vaults feststecken
Schadensbewertung
Paul Frambot von Morpho zählte 15 betroffene Vaults mit über 10.000 Dollar Engagement in USR.
Laut dem Sicherheitsforscher Weilin Li gehören zu den Kuratoren der betroffenen Vaults auf Morpho und anderswo Gauntlet, Re7, MEV Capital, Extrafi, Seamless, August, Clearstar, kpk, Leyrock und 9Summits.
Für diejenigen, die den Zusammenbruch im November verfolgt haben, dürften viele dieser Namen bekannt sein.
Yearn, dessen Mitwirkende zu den schärfsten Kritikern der Ertragsvaults gehörten, die zum Crash im November führten, erlitt einen minimalen Verlust von 377 Dollar.
Ironischerweise (oder aufschlussreich) war Resolvs eigener Risikomanager Steakhouse nicht USR ausgesetzt, obwohl er nur fünf Tage vor dem Hack erklärte, dass "Resolv operativ institutionelle Strenge zeigt".
Die Deckung des DOLA-Stablecoins von Inverse Finance war indirekt dem Depeg von USR ausgesetzt, wobei das Team versprach, das Loch von 340.000 Dollar zu stopfen.
Eine Reihe von Kreditmärkten pausierte USR-Märkte, darunter Venus Protocol, das selbst am vergangenen Wochenende gehackt wurde, und Lista.
Fluid war am schlimmsten betroffen und könnte bis zu 17,5 Millionen Dollar notleidende Kredite angehäuft haben. Das Team versicherte den Benutzern jedoch, dass es "kurzfristige Kredite gesichert hat, um 100% der notleidenden Kredite zu decken".
Es erwägt auch den Verkauf von FLUID-Token, "falls zusätzliche Mittel erforderlich sein sollten".
Nach einigen schwierigen Monaten für das führende Kreditprotokoll Aave mit Governance-Drama und einem Oracle-Missgeschick war Stani Kulechov von Aave Labs darauf bedacht, Aaves fehlende Exposition hervorzuheben.
DeFi-Kettenreaktion
Das Netz von Plattformen, die durch die Kompromittierung eines einzigen privaten Schlüssels betroffen sind, ist eine deutliche Erinnerung daran, dass eine der wichtigsten Innovationen von DeFi (Dezentralisierte Finanzen), die Interoperabilität, ein zweischneidiges Schwert ist.
Automatisierte Allokation kann unter normalen Bedingungen Renditen optimieren, aber wenn Dinge kaputt gehen, was sie in DeFi (Dezentralisierte Finanzen) oft tun, folgt unbeabsichtigtes Verhalten.
Ohne eigene Mittel im Spiel schafft das aktuelle Setup Anreize für "bösartige Spieltheorie, die [Kuratoren] dazu drängt, mehr Risiko zu suchen".
Diese jüngste Episode hat die Forderungen erneuert, dass Kuratoren Eigenkapital einsetzen müssen. Ein Ansatz ist die Tranchierung von Einlagen, wobei Kuratoren zuerst Verluste erleiden würden, sollte ihr Risiko unsachgemäß "kuratiert" sein.
Sie haben einen Tipp? Senden Sie uns sicher eine E-Mail über Protos Leaks. Für weitere fundierte Nachrichten folgen Sie uns auf X, Bluesky, und Google News, oder abonnieren Sie unseren YouTube -Kanal.
Quelle: https://protos.com/resolv-hack-shows-defi-learned-nothing-from-last-contagion/
