Увечері 25 липня EraLend, протокол кредитування з найвищим TVL на zkSync, був раптово зламаний. Маніпулюючи ціною машини Oracle, хакер отримав приблизно 2,76 мільйона доларів США з пулу USDC EraLend, інші фонди не постраждали. Після інциденту EraLend призупинив запозичення (Borrow) усіх пулів, а також функцію депозиту (Supply) пулу USDC і пулу SyncSwap LP.
Під час цієї атаки постраждали не лише користувачі EraLend, вона спровокувала ланцюгову реакцію. Власники стейблкоїна USD++ також зазнали збитків.
Хто такий USD+?
USD+ — це стабільний валютний продукт, випущений overnight.fi, який розгортається в кількох мережах, таких як OP, Arb і zkSync. На відміну від звичайних стейблкоїнів, які покладаються на резерви фіатної валюти, цей продукт не пов’язаний безпосередньо з фіатною валютою, а пов’язаний із USDC 1:1.
(USD + резерв активів)
Ще одна приваблива особливість USD+ полягає в тому, що стабільну валюту можна зберігати для отримання прибутку. Сторона проекту інвестує резервні активи в кілька угод DeFi. Тому цей продукт може розуміти фонди грошового ринку у світі DeFi. USD+ може генерувати прибутковість від 1% до 5%, а прибуток розподілятиметься щодня.
Відповідно до вступної частини офіційного документа, переваги використання USD+ полягають у наступному: можна уникнути поглибленого дослідження ринку та частих транзакцій, брати участь у використанні багатьох протоколів DeFi та отримувати дохід без застави. Крім того, чиновник також зробив спеціальну заяву в документі: «Зверніть увагу, що ви несете ризик усіх угод у заставі USD+».
Якщо все працює добре (як очікує сторона проекту), то користувачі можуть володіти активом стейблкойн, який повністю виконується в ланцюжку, децентралізований і має інтерес. Все це звучить досить добре. Однак небо підвело, і інцидент безпеки EraLend змусив USD+ піти в іншому напрямку.
Загоряється міська брама, що впливає на рибу в ставку
Чому користувачі з USD+ отримують переваги? Оскільки резервні активи проекту включають велику кількість активів DeFi. На жаль, це також включає депозити EraLend.
Згідно з офіційною заявою, резервні активи USD+ розміщені в EraLend і використовуються як застава для запозичення ETH. Об’єднання двох у USDC/ETH LP і отримання доходу на mute.io. Після інциденту з пари LP було вилучено близько 283 ETH і 520 000 USDC.
(Записи операцій по ланцюжку)
Згідно з офіційною заявою, оскільки LP команди проекту позичив велику кількість ETH, ризик чистих активів на EraLend є невеликим (офіційне формулювання: «вплив було компенсовано»). Але проект все одно зіткнувся з втратою деяких стейблкоїнів.
Поки що офіційні особи Overnight не оприлюднили конкретні втрати в цьому інциденті безпеки в соціальних мережах. Але це можна оцінити на основі ризику, який утримує Overnight, Overnight.fi зберігає $786 162 в EraLend і позичає близько 283,0596 ETH ($524 509). Це призводить до потенційного максимального збитку в 261 652 долари США. Приблизно 261 000 доларів США, поточна пропозиція USD+ становить 3 330 769 штук, тому потенційні втрати становлять близько 7,86% ринкової вартості.
Як перебазування забирає ресурси користувача?
Після програшу поводження з командою Overnight викликало невдоволення серед усіх користувачів.
Команда заявила, що «перебазує» USD+, щоб відновити цінову стабільність своєї валюти. Однак детального пояснення того, як перебазувати, немає.
Завдяки коментарям багатьох користувачів і спільноті ми нарешті дізналися, що так зване перебазування означає перетворення поточного USD+ на меншу суму USD+ відповідно до резервної вартості. Тобто нехай користувачі платять, щоб компенсувати збитки від цього інциденту.
SyncSwap, інший проект DEX, який також є частиною екосистеми SyncSwap, глибоко пояснив це для більшості користувачів. Команда USD+ зробить знімки власників USD+ і постачальників ліквідності, які використовуватимуться для компенсації користувачам за постраждалі кошти в майбутньому, але лише ті, хто виведе кошти, будуть включені до знімка. Якщо користувач здійснить виведення, це буде «ребазування», тобто баланс буде безпосередньо зменшено. **
Користувач Twitter @Jue 0123 зняв свій USD+. Але він був здивований, виявивши, що 326 USD+ можна обміняти лише на 267 USDC.
На це поскаржилися користувачі в офіційному Twitter. Скажіть прямо: «Ти вкрав мої гроші!»
На додаток до поганого поводження зі втратою активів, ставлення громадськості до цього інциденту є настільки ж поганим.
Після оголошення про перебазування офіційний Twitter Overnight почав переходити в режим «поливання», шалено розсилаючи численні твіти. Наразі важко гортати твіти, пов’язані з інцидентами безпеки, на кількох екранах перед офіційним твітом.
Крім того, чиновник заявив, що «ви можете знайти більш детальну інформацію про наш Discord». Однак офіційне оголошення Discord, яке розкриває цей прогрес у безпеці, більше не можна відкрити.
На офіційному сайті Overnight ми можемо побачити три продукти Overnight з очевидних позицій: USD+, ETS, USD+ страхування.
У USD+ чітко зазначено, що продукт захищений страховкою, і «будь-які збитки будуть компенсовані зі страхового фонду». Страхування USD+ вказує на те, що продукт збирає частину доходу USD+ як премію, а втрату USD+ спочатку оплачує страховий фонд.
Насправді не тільки дизайн механізму безпеки USD+ повністю провалився. Його механізм страхування не мав жодного ефекту, а серія подальших операцій обробки була ще більшою несподіванкою.
Ще більш обурливим є те, що офіційний веб-сайт Overnight.fi оприлюднив інформацію про дев’ятьох членів команди та стверджував, що вони мають досвід роботи в Інтернеті, наприклад у Google і Facebook. Odaily Planet Daily здійснив пошук за посиланням на Linkedin (Лінкедин), опублікованому на офіційному сайті, і не знайшов жодного зі згаданих вище 9 осіб. Весь проект можна назвати підозрілим.
У світі ланцюгів Кодекс є законом, але жодні односторонні зобов’язання будь-якої сторони проекту не заслуговують на довіру.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Чи відповідають користувачі за втрати проекту? Stablecoin USD + знижка 30% протягом доби
Увечері 25 липня EraLend, протокол кредитування з найвищим TVL на zkSync, був раптово зламаний. Маніпулюючи ціною машини Oracle, хакер отримав приблизно 2,76 мільйона доларів США з пулу USDC EraLend, інші фонди не постраждали. Після інциденту EraLend призупинив запозичення (Borrow) усіх пулів, а також функцію депозиту (Supply) пулу USDC і пулу SyncSwap LP.
Під час цієї атаки постраждали не лише користувачі EraLend, вона спровокувала ланцюгову реакцію. Власники стейблкоїна USD++ також зазнали збитків.
Хто такий USD+?
USD+ — це стабільний валютний продукт, випущений overnight.fi, який розгортається в кількох мережах, таких як OP, Arb і zkSync. На відміну від звичайних стейблкоїнів, які покладаються на резерви фіатної валюти, цей продукт не пов’язаний безпосередньо з фіатною валютою, а пов’язаний із USDC 1:1.
(USD + резерв активів)
Ще одна приваблива особливість USD+ полягає в тому, що стабільну валюту можна зберігати для отримання прибутку. Сторона проекту інвестує резервні активи в кілька угод DeFi. Тому цей продукт може розуміти фонди грошового ринку у світі DeFi. USD+ може генерувати прибутковість від 1% до 5%, а прибуток розподілятиметься щодня.
Відповідно до вступної частини офіційного документа, переваги використання USD+ полягають у наступному: можна уникнути поглибленого дослідження ринку та частих транзакцій, брати участь у використанні багатьох протоколів DeFi та отримувати дохід без застави. Крім того, чиновник також зробив спеціальну заяву в документі: «Зверніть увагу, що ви несете ризик усіх угод у заставі USD+».
Якщо все працює добре (як очікує сторона проекту), то користувачі можуть володіти активом стейблкойн, який повністю виконується в ланцюжку, децентралізований і має інтерес. Все це звучить досить добре. Однак небо підвело, і інцидент безпеки EraLend змусив USD+ піти в іншому напрямку.
Загоряється міська брама, що впливає на рибу в ставку
Чому користувачі з USD+ отримують переваги? Оскільки резервні активи проекту включають велику кількість активів DeFi. На жаль, це також включає депозити EraLend.
Згідно з офіційною заявою, резервні активи USD+ розміщені в EraLend і використовуються як застава для запозичення ETH. Об’єднання двох у USDC/ETH LP і отримання доходу на mute.io. Після інциденту з пари LP було вилучено близько 283 ETH і 520 000 USDC.
(Записи операцій по ланцюжку)
Згідно з офіційною заявою, оскільки LP команди проекту позичив велику кількість ETH, ризик чистих активів на EraLend є невеликим (офіційне формулювання: «вплив було компенсовано»). Але проект все одно зіткнувся з втратою деяких стейблкоїнів.
Поки що офіційні особи Overnight не оприлюднили конкретні втрати в цьому інциденті безпеки в соціальних мережах. Але це можна оцінити на основі ризику, який утримує Overnight, Overnight.fi зберігає $786 162 в EraLend і позичає близько 283,0596 ETH ($524 509). Це призводить до потенційного максимального збитку в 261 652 долари США. Приблизно 261 000 доларів США, поточна пропозиція USD+ становить 3 330 769 штук, тому потенційні втрати становлять близько 7,86% ринкової вартості.
Як перебазування забирає ресурси користувача?
Після програшу поводження з командою Overnight викликало невдоволення серед усіх користувачів.
Команда заявила, що «перебазує» USD+, щоб відновити цінову стабільність своєї валюти. Однак детального пояснення того, як перебазувати, немає.
Завдяки коментарям багатьох користувачів і спільноті ми нарешті дізналися, що так зване перебазування означає перетворення поточного USD+ на меншу суму USD+ відповідно до резервної вартості. Тобто нехай користувачі платять, щоб компенсувати збитки від цього інциденту.
SyncSwap, інший проект DEX, який також є частиною екосистеми SyncSwap, глибоко пояснив це для більшості користувачів. Команда USD+ зробить знімки власників USD+ і постачальників ліквідності, які використовуватимуться для компенсації користувачам за постраждалі кошти в майбутньому, але лише ті, хто виведе кошти, будуть включені до знімка. Якщо користувач здійснить виведення, це буде «ребазування», тобто баланс буде безпосередньо зменшено. **
Користувач Twitter @Jue 0123 зняв свій USD+. Але він був здивований, виявивши, що 326 USD+ можна обміняти лише на 267 USDC.
На це поскаржилися користувачі в офіційному Twitter. Скажіть прямо: «Ти вкрав мої гроші!»
Командна операція: безвідповідальність, видалити оголошення
На додаток до поганого поводження зі втратою активів, ставлення громадськості до цього інциденту є настільки ж поганим.
Після оголошення про перебазування офіційний Twitter Overnight почав переходити в режим «поливання», шалено розсилаючи численні твіти. Наразі важко гортати твіти, пов’язані з інцидентами безпеки, на кількох екранах перед офіційним твітом.
Крім того, чиновник заявив, що «ви можете знайти більш детальну інформацію про наш Discord». Однак офіційне оголошення Discord, яке розкриває цей прогрес у безпеці, більше не можна відкрити.
На офіційному сайті Overnight ми можемо побачити три продукти Overnight з очевидних позицій: USD+, ETS, USD+ страхування.
У USD+ чітко зазначено, що продукт захищений страховкою, і «будь-які збитки будуть компенсовані зі страхового фонду». Страхування USD+ вказує на те, що продукт збирає частину доходу USD+ як премію, а втрату USD+ спочатку оплачує страховий фонд.
Насправді не тільки дизайн механізму безпеки USD+ повністю провалився. Його механізм страхування не мав жодного ефекту, а серія подальших операцій обробки була ще більшою несподіванкою.
Ще більш обурливим є те, що офіційний веб-сайт Overnight.fi оприлюднив інформацію про дев’ятьох членів команди та стверджував, що вони мають досвід роботи в Інтернеті, наприклад у Google і Facebook. Odaily Planet Daily здійснив пошук за посиланням на Linkedin (Лінкедин), опублікованому на офіційному сайті, і не знайшов жодного зі згаданих вище 9 осіб. Весь проект можна назвати підозрілим.
У світі ланцюгів Кодекс є законом, але жодні односторонні зобов’язання будь-якої сторони проекту не заслуговують на довіру.