Le piratage de 23 millions de dollars du stablecoin USR de Resolv dimanche a entraîné une contagion dans tout le secteur DeFi / Finance Décentralisée.
Des traders opportunistes ont utilisé l'USR dépeggé pour emprunter, drainant la liquidité dans plus d'une douzaine de coffres de rendement.
Pour aggraver les choses, les soi-disant "curateurs de risque" ont ensuite automatiquement alloué davantage de fonds aux marchés défaillants alors que les taux de prêt augmentaient.
En novembre, une contagion similaire a frappé l'écosystème de coffres "curés" de DeFi / Finance Décentralisée après que Stream Finance a annoncé une perte de 93 millions de dollars, entraînant une baisse de 75% du xUSD.
Malgré les discussions sur les notations de risque et les curateurs mettant en jeu du capital de première perte par la suite, il semble qu'au final, peu de leçons aient été tirées.
En savoir plus : Quatre mois plus tard, MEV Capital est victime de l'implosion d'une chaîne DeFi / Finance Décentralisée de 4 milliards de dollars
Le piratage
La déclaration de Resolv Labs a confirmé qu'une compromission de clé privée a conduit à la "création non autorisée (et sans restriction) d'environ 80 millions de dollars d'USR non collatéraux."
L'offre de tokens USR d'avant le piratage reste entièrement garantie, les pertes provenant des fournisseurs de liquidité (LPs) sur les bourses décentralisées lorsque le pirate a vendu les tokens créés. Par exemple, les LPs sur Curve Finance seuls ont perdu environ 17 millions de dollars.
La vente massive du pirate a provoqué un dépegging de l'USR, qui se négocie actuellement à 0,23 $, selon les données de CoinMarketCap. La société de sécurité Blockchain Beosin estime les profits de l'attaquant à 11 409 ether (ETH), d'une valeur de plus de 23 millions de dollars au moment de la rédaction.
L'équipe Resolv a fait face à des critiques pour un temps de réponse lent lors de la collecte des signatures multisig nécessaires pour mettre en pause le protocole.
Elle a contacté l'exploiteur on-chain, demandant le retour de 90% de l'ETH converti, ainsi que de l'USR restant.
En savoir plus : Le pirate du Venus Protocol a perdu 4,7 millions de dollars après neuf mois de planification
Les conséquences
Le piratage a peut-être été simple, mais les effets en cascade ont été tout sauf simples.
L'USR dépeggé a été saisi par des traders opportunistes qui l'ont utilisé pour drainer les coffres de rendement avec des oracles de prix codés en dur. En achetant de l'USR bon marché pour l'utiliser comme collatéral, les utilisateurs pouvaient emprunter d'autres actifs, comme l'USDC, comme si l'USR valait encore 1 $.
En savoir plus : Une erreur d'oracle ajoute à la tourmente du géant DeFi / Finance Décentralisée Aave
Comme si les choses n'étaient pas assez mauvaises, les stratégies automatisées des "curateurs de risque" ont ensuite alloué davantage de fonds aux marchés affectés, dont la forte utilisation avait fait grimper les rendements d'approvisionnement.
Omer Goldberg de Chaos Labs a expliqué comment la fonctionnalité Public Allocator de Morpho permettait aux curateurs "dont Gauntlet, re7, kpk et 9summits" d'auto-allouer des millions de dollars d'actifs sur les marchés "en fonction de plafonds et de lignes de crédit pré-configurés et approuvés."
Dans certains cas, selon Goldberg, l'allocation dans des coffres défaillants s'est poursuivie pendant des heures.
Le chaos a également apporté de l'innovation, cependant, car les auto-allocations ont même été spécifiquement ciblées pour libérer des liquidités supplémentaires. Les concurrents entreprenants d'Obsidian ont également capitalisé sur l'incident, offrant un service de migration aux utilisateurs dont les dépôts sont bloqués dans des coffres Morpho illiquides
Évaluation des dégâts
Paul Frambot de Morpho a recensé 15 coffres affectés avec plus de 10 000 $ d'exposition à l'USR.
Selon le chercheur en sécurité Weilin Li, les curateurs des coffres affectés, sur Morpho et ailleurs, incluent Gauntlet, Re7, MEV Capital, Extrafi, Seamless, August, Clearstar, kpk, Leyrock et 9Summits.
Pour ceux qui ont suivi l'effondrement de novembre, bon nombre de ces noms peuvent sembler familiers.
Yearn, dont les contributeurs figuraient parmi les critiques les plus sévères des coffres de rendement qui ont conduit au crash de novembre, a subi une perte minimale de 377 $.
Ironiquement (ou révélateur), le propre gestionnaire de risque de Resolv, Steakhouse, n'était pas exposé à l'USR, malgré avoir déclaré qu'"opérationnellement, Resolv démontre une rigueur institutionnelle" seulement cinq jours avant le piratage.
Le soutien du stablecoin DOLA d'Inverse Finance a été indirectement exposé au dépegging de l'USR, l'équipe s'engageant à combler le trou de 340 000 $.
Un certain nombre de marchés de prêt ont suspendu les marchés USR, notamment Venus Protocol, qui a lui-même été piraté le week-end dernier, et Lista.
Fluid a été le plus touché et peut avoir accumulé jusqu'à 17,5 millions de dollars de créances douteuses. Cependant, l'équipe a rassuré les utilisateurs en déclarant avoir "obtenu des prêts à court terme pour couvrir 100% des créances douteuses."
Elle envisage également de vendre des tokens FLUID "si des fonds supplémentaires devaient être nécessaires."
Après quelques mois difficiles pour le protocole de prêt leader Aave, avec un drame de gouvernance et une erreur d'oracle, Stani Kulechov d'Aave Labs tenait à souligner l'absence d'exposition d'Aave.
Chaîne DeFi / Finance Décentralisée
Le réseau de plateformes affectées par la compromission d'une seule clé privée est un rappel saisissant de la façon dont l'une des innovations clés de DeFi / Finance Décentralisée, l'Interopérabilité des blockchains, est une arme à double tranchant.
L'Allocation de Token automatisée peut optimiser les rendements dans des conditions normales, mais lorsque les choses se cassent, ce qui arrive souvent dans DeFi / Finance Décentralisée, des comportements imprévus suivent.
Sans leurs propres fonds en jeu, la configuration actuelle incite à "une théorie des jeux malveillante poussant [les curateurs] à rechercher plus de risque."
Ce dernier épisode a renouvelé les appels pour que les curateurs aient un intérêt personnel dans le jeu. Une approche consiste en une segmentation des dépôts, les curateurs étant appelés à perdre en premier si leur risque est mal "curé."
Vous avez un tuyau ? Envoyez-nous un e-mail en toute sécurité via Protos Leaks. Pour plus d'actualités éclairées, suivez-nous sur X, Bluesky, et Google News, ou abonnez-vous à notre chaîne YouTube.
Source : https://protos.com/resolv-hack-shows-defi-learned-nothing-from-last-contagion/
