El hackeo de $23 millones del domingo a la stablecoin USR de Resolv ha generado contagio en todo el sector DeFi.
Traders oportunistas usaron USR con depeg para pedir prestado, drenando liquidez en más de una docena de bóvedas de rendimiento.
Para empeorar las cosas, los llamados "curadores de riesgo" luego asignaron automáticamente más fondos a mercados rotos a medida que las tasas de préstamo se dispararon.
En noviembre, un contagio similar golpeó el ecosistema de bóvedas "curadas" de DeFi después de que Stream Finance anunciara una pérdida de $93 millones, llevando a un 75% de xUSD.
A pesar de las discusiones sobre calificaciones de riesgo y curadores poniendo capital de primera pérdida después, parece que no se aprendió mucho, después de todo.
Leer más: Cuatro meses después, MEV Capital es víctima de la implosión de la cadena de margaritas DeFi de $4B
El hackeo
La declaración de Resolv Labs confirmó que un compromiso de clave privada llevó a la "acuñación no autorizada (y sin restricciones) de aproximadamente $80 millones de USR sin colateral".
El suministro de tokens USR anterior al hackeo permanece completamente respaldado, con pérdidas provenientes de proveedores de liquidez (LPs) en exchanges descentralizados mientras el hacker vendía los tokens acuñados. Por ejemplo, se estima que los LPs solo en Curve Finance perdieron $17 millones.
La venta masiva del hacker causó un depeg de USR, que actualmente se cotiza a $0.23, según datos de CoinMarketCap. La firma de seguridad Blockchain Beosin sitúa las ganancias del atacante en 11,409 ether (ETH), con un valor de más de $23 millones al momento de escribir.
El equipo de Resolv enfrentó críticas por un tiempo de respuesta lento mientras recopilaba las firmas multisig necesarias para pausar el protocolo.
Ha contactado al explotador on-chain, solicitando la devolución del 90% del ETH convertido, así como el USR restante.
Leer más: El hacker de Venus Protocol perdió $4.7M después de nueve meses de planificación
Las consecuencias
El hackeo puede haber sido simple, pero los efectos dominó han sido todo menos eso.
Traders oportunistas se lanzaron sobre el USR con depeg y lo usaron para drenar bóvedas de rendimiento con oráculos de precio codificados. Al comprar USR barato para usar como colateral, los usuarios podían pedir prestados otros activos, como USDC, como si USR todavía valiera $1.
Leer más: Error de oráculo agrega al caos en el gigante DeFi Aave
Como si las cosas no fueran lo suficientemente malas, las estrategias automatizadas de "curadores de riesgo" luego asignaron más fondos a los mercados afectados, cuya alta utilización había disparado los rendimientos de suministro.
Omer Goldberg de Chaos Labs explicó cómo la función Public Allocator de Morpho permitió a los curadores "incluyendo Gauntlet, re7, kpk y 9summits" autoasignar millones de dólares en activos a los mercados "basándose en límites preconfigurados y aprobados y líneas de crédito".
En algunos casos, dice Goldberg, la asignación a bóvedas rotas continuó durante horas.
El caos también trajo innovación, sin embargo, ya que las asignaciones automáticas incluso fueron específicamente dirigidas a liberar liquidez adicional. Competidores emprendedores como Obsidian también capitalizaron el incidente, ofreciendo un servicio de migración a usuarios cuyos depósitos están atascados en bóvedas ilíquidas de Morpho
Evaluando el daño
Paul Frambot de Morpho contabilizó 15 bóvedas afectadas con más de $10,000 de exposición a USR.
Según el investigador de seguridad Weilin Li, los curadores de las bóvedas afectadas, en Morpho y otros lugares, incluyen Gauntlet, Re7, MEV Capital, Extrafi, Seamless, August, Clearstar, kpk, Leyrock y 9Summits.
Para aquellos que siguieron el colapso de noviembre, muchos de estos nombres pueden ser familiares.
Yearn, cuyos contribuyentes estuvieron entre los críticos más duros de las bóvedas de rendimiento que llevaron al colapso de noviembre, sufrió una pérdida mínima de $377.
Irónicamente (o reveladoramente), el propio gestor de riesgo de Resolv, Steakhouse, no estuvo expuesto a USR, a pesar de declarar que "operacionalmente, Resolv demuestra rigor institucional" solo cinco días antes del hackeo.
El respaldo de la stablecoin DOLA de Inverse Finance estuvo indirectamente expuesto al depeg de USR, con el equipo comprometiéndose a parchear el agujero de $340,000.
Varios mercados de préstamos pausaron los mercados de USR, incluyendo Venus Protocol, que fue hackeado el fin de semana pasado, y Lista.
Fluid fue el más afectado, y puede haber acumulado hasta $17.5 millones de deuda incobrable. Sin embargo, el equipo tranquilizó a los usuarios de que había "asegurado préstamos a corto plazo para cubrir el 100% de la deuda incobrable".
También considera vender tokens FLUID "en caso de que se requieran fondos adicionales".
Tras unos meses difíciles para el protocolo de préstamos líder Aave, con drama de gobernanza y un problema de oráculo, Stani Kulechov de Aave Labs estaba ansioso por destacar la falta de exposición de Aave.
Cadena de margaritas DeFi
La red de plataformas afectadas por el compromiso de una sola clave privada es un recordatorio contundente de cómo una de las innovaciones clave de DeFi, la Interoperabilidad de Blockchain, es un arma de doble filo.
La asignación automatizada puede optimizar los retornos en condiciones normales, pero cuando las cosas se rompen, lo cual ocurre con frecuencia en DeFi, sigue un comportamiento no deseado.
Sin sus propios fondos en juego, la configuración actual incentiva "teoría de juegos maliciosa empujando [a los curadores] a buscar más riesgo".
Este último episodio ha renovado los llamados para que los curadores tengan participación en el juego. Un enfoque es el tramo de depósitos, con curadores destinados a perder primero si su riesgo está incorrectamente "curado".
¿Tienes información? Envíanos un correo electrónico de forma segura a través de Protos Leaks. Para más noticias informadas, síguenos en X, Bluesky, y Google News, o suscríbete a nuestro canal de YouTube.
Fuente: https://protos.com/resolv-hack-shows-defi-learned-nothing-from-last-contagion/
