TL;DR

  • Resolv-protokollen ble utnyttet for 25 millioner dollar gjennom en strukturell svakhet i USR-stablecoinen
  • Den samme typen sårbarhet har rammet Morpho, Euler og Fluid det siste året
  • Angrepsmønsteret er veldokumentert, men DeFi-industrien fortsetter å bygge på toppen av det
  • Markedet er i risiko-off-modus med Fear & Greed-indeksen på 11/100

Resolv-angrepet: En gjenganger i DeFi

DeFi-protokollen Resolv ble nylig rammet av et exploit som tømte tilsvarende 25 millioner dollar fra USR-stablecoinen. Ifølge The Defiant var ikke angrepet overraskende — den underliggende strukturelle feilen som ble utnyttet har vært kjent i bransjen i over ett år.

Det som gjør dette særlig alvorlig er at identiske svakheter tidligere har blitt brukt til å tappe Morpho, Euler og Fluid for til sammen hundrevis av millioner dollar. Likevel har protokoller fortsatt å bygge nye produkter på toppen av den samme sårbare arkitekturen.

Bransjen visste om feilen. Den bygget videre uansett.
25 millioner dollar borte: DeFi gjør samme feil igjen og igjen

Strukturell svakhet, ikke tilfeldig uhell

Eksploitet i Resolv følger et mønster som DeFi-sikkerhetsmiljøet har advart mot gjentatte ganger: prisorakler — de systemene som henter og leverer markedsprisdata til smarte kontrakter — kan manipuleres dersom de ikke er tilstrekkelig desentraliserte eller har utilstrekkelig datakildebredde.

Når en prisfeed kan påvirkes, kan angripere trigge kunstige likvidasjoner, tappe midler fra likviditetspooler eller gjennomføre lønnsom arbitrasje på bekostning av protokollens brukere.

Dette er kjernen i det The Defiant beskriver som en bransje som «holdt på å bygge på toppen av» en kjent feil.

25 millioner dollar borte: DeFi gjør samme feil igjen og igjen

Hva forsvarsteknologien faktisk kan gjøre

Det finnes løsninger. Oracle-nettverk som Chainlink, Pyth Network og RedStone har alle utviklet arkitekturer spesifikt designet for å motvirke denne typen manipulasjon.

Chainlink bruker aggregering fra flere uavhengige datakilder og krever at nodoperatører staker LINK-tokens, med risiko for å miste innsatsen ved feilrapportering. Pyth Network produserer prisdata hvert 400. millisekund fra over 125 førstepartspublisister, inkludert store handelsforetak. RedStone implementerer det de kaller «Liquidity-Weighted Average Price» (LWAP), som skal sørge for at prismanipulasjon via lavlikiditetsmarkeder ikke kan påvirke rapporterte verdier.

I tillegg finnes mekanismer som tidsveide gjennomsnittspriser (TWAP), multi-oracle-aggregering og smarte kontraktsfunksjoner som kan sette operasjoner på pause ved utdatert eller mistenkelig prisdata.

Problemet er ikke mangel på verktøy

Sikkerhetsmiljøet peker på at verktøyene for å hindre oracle-manipulasjon eksisterer og er tilgjengelige. Problemet er at protokollutviklere enten ikke integrerer dem godt nok, eller at de velger å prioritere lansering og vekst fremfor robust sikkerhet.

Den samme strukturelle feilen har tømt hundrevis av millioner fra DeFi det siste året — og industrien valgte å bygge videre på toppen av den uansett.

Markedskonteksten gjør det ikke enklere: med Bitcoin på rundt 70 800 dollar og Fear & Greed-indeksen på 11 av 100 befinner markedet seg i en tydelig risiko-off-fase. I slike perioder er kapital mer sårbar og brukere mer nervøse — noe som forsterker konsekvensene av sikkerhetsbrudd.

Hva bransjen må gjøre

Sikkerhetsforskning peker på flere konkrete tiltak som kan redusere risikoen betraktelig:

  • Bruk av desentraliserte oracle-nettverk med bred datakildedekning og kryptografisk verifisering
  • Implementering av TWAP og circuit breakers som begrenser skaden ved plutselige prisavvik
  • Regelmessige, uavhengige sikkerhetsrevisjoner før og etter lansering av nye produkter
  • Sanntidsovervåkning av prisfeeder for å oppdage anomalier før de utnyttes

Spørsmålet er ikke lenger om teknologien er tilgjengelig. Spørsmålet er om industrien vil prioritere å ta den i bruk — eller om neste protokoll allerede er under bygging på det samme sprekke fundamentet.