Criptovaluta.it® Ultime Notizie Bitcoin e Crypto News | Criptovalute Oggi
Ennesimo incidente per il mondo DeFi, che vede questa volta protagonista il protocollo decentralizzato Resolv Labs e la sua stablecoin sintetica USR. Nella mattinata di ieri, domenica 22 marzo, un malintenzionato ha sfruttato una falla di sicurezza nel codice per colpire il contratto che consente la creazione di nuove monete, gonfiando in maniera “artificiale” l’offerta circolante e innescando successivamente il dump sul mercato.
Alla stesura di questo articolo la stablecoin USR viene scambiata a $0,26, reduce da una depeg del 74% rispetto al suo ancoraggio con il dollaro statunitense. Parliamo di una perdita che si aggira intorno ai $130 milioni, nonostante gli asset interni al protocollo non siano stati colpiti dall’attacco. Ora il progetto sta investigando sull’accaduto e ha già anticipato che interverrà con misure volte a compensare, almeno in parte, i danni subiti dagli utenti.
Resolv Labs hack: cos’è successo?
Intorno alle 03:20 della giornata di ieri (ora italiana), l’attaccante è riuscito a coniare ben 80 milioni di stablecoin USR, impegnando a garanzia una cifra inferiore ai $200.000, a seguito della compromissione del contratto di mint di Resolv Labs. Questo è stato possibile poiché l’hacker è entrato in possesso della chiave privata di un indirizzo legato al progetto, il quale disponeva dei permessi necessari per eseguire funzioni di emissione di nuova moneta.
Secondo le stime post-mortem emerse, si parla di un rapporto estremo di 500:1 tra la quantità di USR generata e il valore del collaterale depositato. Ricordiamo che questa valuta si basa su un sistema di overcollateralization (tramite asset come USDC, ETH e altri derivati) e sull’impiego delle garanzie in varie strategie di yield.
Al momento gli smart contract di Resolv sono stati sospesi, mentre il team cerca di identificare e monitorare il flusso dei fondi rubati. Nel frattempo, 9 milioni di USR in possesso dell’exploiter sono stati bruciati per evitare ulteriori vendite e danni al protocollo, lasciando però un ampio squilibrio interno alla stablecoin.
Uno dei motivi che forse più di tutti ha facilitato l’hack, riguarda il fatto che l’indirizzo che gestiva il meccanismo di mint di Resolv Labs era un semplice account EOA piuttosto che un multisignature, dunque più semplice da compromettere. Parallelamente il protocollo non disponeva di misure di sicurezza d’emergenza, senza limiti operativi né protezioni sul prezzo dell’oracolo, cose che avrebbero potuto contenere enormemente il danno.
La conta dei danni: depeg stablecoin USR e milioni rubati
Secondo le parole del team di Resolv Labs, l’impatto effettivo dell’incidente è quantificato in solo $0,5 milioni di perdite relative ai redeem richiesti dagli utenti prima della sospensione dei contratti del protocollo. Ci si riferisce cioè a tutti coloro che hanno richiesto un riscatto del proprio collaterale prima che il sistema venisse bloccato, mentre la stablecoin USR veniva negoziata sotto il valore teorico di parità con il dollaro USA.
In realtà però, la situazione è più complessa di quanto descritto in maniera ottimistica dagli addetti ai lavori del progetto. Infatti al momento il protocollo detiene ancora tutto il collaterale pre-incidente, valutato attorno ai $140 milioni, mentre l’offerta circolante della moneta è di 173 milioni di unità. Inizialmente, prima dell’attacco, la supply di USR era di 102 milioni di token.
Il surplus coniato illecitamente dall’attaccante è stato riversato sulle pool di Curve Finance, principalmente attraverso la coppia USR/USDC, portando ad uno svuotamento della liquidità di circa $23-25 milioni. Il ricavato è stato immediatamente convertito in ETH (che a differenza di alcune stablecoin, non può essere freezato) e spostato su diversi indirizzi.
Questo è il grafico di USR, che come vedete ha subito un forte crash sui mercati secondari, con un prezzo che al momento si aggira intorno agli $0,26, e una capitalizzazione che registra una perdita da $130 milioni.
E se Resolv Labs eseguisse un rollback o lanciasse una nuova stablecoin?
I più arguti avranno sicuramente pensato che le perdite derivanti dall’hack potrebbero essere recuperate semplicemente avviando un rollback e tornando indietro nel tempo prima che si verificasse l’incidente. In realtà sarebbe più opportuno parlare di lancio di una nuova moneta, in quanto un vero rollback della blockchain su cui opera il progetto non è tecnicamente praticabile, se non da Ethereum stessa.
Il concetto però rimane lo stesso: visto che il collaterale di Resolv è ancora completamente intatto, si potrebbe pensare di ricreare un nuovo USR, senza l’inflazione extra causata dall’hack, e ristabilire di fatto un valore di mercato congruo. Questo riporterebbe la stablecoin a $1 e eliminerebbe lo squilibrio attuale.
Ma si può fare davvero? Tecnicamente sì, ed è verosimilmente la direzione che potrebbe intraprendere il protocollo per compensare le perdite subite dagli utenti, tant’è che nel tweet post-mortem hanno invitato a non scambiare USR su mercati secondari per evitare distorsioni nel processo di recovery.
Il problema è che, visto che il valore non si crea e non si distrugge dal nulla, qualcuno subirà ugualmente il peso dell’exploit. Nello specifico, chi ha fornito liquidità alla pool USR/USDC su Curve sarà pesantemente danneggiato. Inoltre chi ha deciso di limitare le perdite e vendere USR durante il depeg, potrebbe non recuperare tutto il valore iniziale, anche a seguito di un’ipotetica compensazione.
Attenzione al rischio contagio dopo l’hack Resolv Labs
C’è poi anche un altro enorme problema, in genere poco considerato durante gli hack dei protocolli DeFi. Visto il modo con cui la stablecoin USR, e le sue versioni derivate (ad es. wstUSR) erano integrate con altre applicazioni DeFi, il depeg potrebbe ora portare a un effetto contagio.
In particolare, piattaforme di lending come Morpho, Euler e Inverse Finance, le cui vault contenevano prodotti con garanzie in USR, ora si trovano con somme di bad debt significative. Non si tratta di cifre tali da mettere a rischio la sopravvivenza dei protocolli coinvolti, ma comunque deleterie sia per i curators dei suddetti prodotti, sia per gli utenti che avevano depositato al loro interno, i quali si trovano con vault senza più liquidità.
In DeFi quando un token viene integrato su più protocolli contemporaneamente, e riutilizzato per attività diverse, si parla di “composability”. Un termine che fa tanto hype, e che aumenta sicuramente l’efficienza di una piattaforma, ma che rappresenta anche un ulteriore livello di rischio da considerare, essendoci più controparti coinvolte.
Tutti temi che abbiamo trattato in una recente intervista con Mitchell Amador, CEO di Immunefi. Vi consigliamo caldamente la lettura per comprendere dove la DeFi nasconde ancora i suoi punti deboli.
Non esistono guadagni facili con le stablecoin
Ancora una volta, questa storia ci insegna che nel mondo crypto non esistono scorciatoie per ottenere rendimenti superiori alla media senza correre rischi altrettanto superiori alla media. Diverse strategie di yield basate su USR rendevano più del 10% di APY, ma ovviamente erano legate a processi più complessi di quelli che vediamo su stablecoin tradizionali come USDT o USDC.
Negli investimenti rischio e rendimento vanno di pari passo. È estremamente raro trovare un’opportunità in cui si hanno prospettive di guadagno elevate a fronte di un’esposizione safe o senza particolari elementi di fragilità. Il più delle volte, se state battendo il benchmark, è perché contemporaneamente state assumendo un rischio ben maggiore, anche se non immediatamente visibile.
