今朝、@ResolvLabs$USRステーブルコインが攻撃者によって悪用され、わずか~$100〜200K USDCで~80Mの無保証トークンを発行されました。 Resolv LabsのUSRエクスプロイトは、2段階のミントプロセス(requestSwapの後にcompleteSwap)の重大な欠陥を悪用しました。攻撃者は約$100〜200K USDCを入金しましたが、検証チェックを回避しました。これは、マルチシグではなく単一の外部所有アドレス(EOA)で制御された、または安全性が低いSERVICE_ROLEと、オンチェーンの金額上限が欠如していることが原因と考えられます。 minExpectedAmount enforcement、またはオラクル価格ガード—8,000万~個の裏付けのないUSRトークンを、極端な500:1の比率で発行することを可能にします。 攻撃者はこれらのトークンを流動性プール(主に@CurveFinanceのUSR/USDC)に投入し、その収益をETHなどの実物資産に変換して約2,300万〜2,500万ドルの利益を得ました。一方、プロトコルの基礎となる担保プールは完全に無傷で、コア資産も流出されず、USRトークンはデペグされました。 Resolv LabsのUSRエクスプロイトは、貸出市場において大きな二次的な感染を引き起こしました。@Morpho(@gauntlet_xyzなど複数のキュレーターヴォールトを経由)、@0xfluid、@lista_dao、@eulerfinance、@InverseFinanceなどのプロトコルは、USR、wstUSR、RLPを担保として受け入れ、ほぼ1ドルの固定資産を前提としており、不良債権推定額は数十万ドルに及ぶものでした(例: InverseのwstUSR-DOLA市場で~34万ドル)から数百万ドル(例:Fluidで~1100万ドル+の潜在的、MorphoのVault全体で数百万ドル)に至るまで、デペグが担保不足のポジションや強制清算・出口を引き起こしました。 このイベントで得られる重要な教訓は、暗号通貨で初めて学んだことではありませんが、これらのプロトコルと関わる際には多くの未知のリスクが存在するため、利用者はそのリスクを意思決定に反映させる必要があります。そして、エクスプロイトが起きた場合は大きな攻撃範囲があり、エクスプロイトされたトークンに依存する製品は資金を失うリスクを負う可能性があります。