گزارش تحقیقی عمیق در مورد حادثه هک پروتکل Resolv، پرداخت کننده نهایی کیست؟

خلاصه اصلی

روش حمله: مهاجم تقریباً ۱۰۰۰۰۰ دلار USDC را برای سوءاستفاده از یک آسیب‌پذیری بحرانی در عملکرد ضرب USR - احتمالاً به دلیل دستکاری اوراکل‌ها، افشای کلیدهای امضاکننده خارج از زنجیره یا عدم اعتبارسنجی مبلغ بین درخواست‌های ضرب و اجرا - استفاده کرد و در نتیجه ۸۰ میلیون USR (به ارزش حدود ۸۰ میلیون دلار) ایجاد کرد که سپس به سرعت با دارایی‌های واقعی مبادله شد.

مسیر آربیتراژ: مهاجم، USR ضرب‌شده غیرقانونی را به‌صورت دسته‌ای به استخرهای نقدینگی مانند Curve Finance فروخت و باعث شد قیمت USR تا ۲.۵ سنت کاهش یابد و در بحبوحه هرج‌ومرج depeg، تقریباً ۲۵ میلیون دلار نقد شود و متعاقباً سود آربیتراژ را به ETH تبدیل کرد تا روند پاکسازی کامل شود.

توزیع ضرر: طبق منطق طراحی معماری ریسک دولایه Resolv، کمبود وثیقه ناشی از این حمله ابتدا توسط دارندگان استخر بیمه RLP متحمل می‌شود (قیمت RLP با کاهش ارزش خالص دارایی پروتکل کاهش می‌یابد)، در حالی که دارندگان USR از نظر تئوری تا زمانی که پروتکل بازخریدها را به حالت تعلیق درآورد، محافظت می‌شوند. با این حال، USR با استفاده از موقعیت‌های حلقه‌ای اهرمی در پروتکل‌های وام‌دهی مانند Morpho به دلیل depeg با انحلال اجباری مواجه شد و در نتیجه ضررهای ثانویه را متحمل شد.

پروتکل‌های تحت تأثیر: پروتکل‌های اصلی DeFi که تحت تأثیر قرار گرفته‌اند عبارتند از: Curve Finance (مجموع نقدینگی USR/USDC فوراً سقوط کرد)، Morpho (موقعیت‌های اهرمی USR به عنوان وثیقه باعث انحلال شد)، Fluid و Euler (که آنها نیز موقعیت‌های حلقه‌ای USR/RLP داشتند).

هشدار صنعت: این حادثه یک ضعف اساسی استیبل کوین‌های دلتا خنثی را آشکار می‌کند - اتصال منطق ضرب سکه با امضاها/اوراکل‌های خارج از زنجیره، آسیب‌پذیرترین سطح حمله سیستم است. هر طرح بهره‌وری سرمایه‌ای با شعار «یک دلار، یک دلار سود می‌دهد» باید مبتنی بر حسابرسی‌های امنیتی بسیار دقیق قرارداد باشد.

من. RESOLV و USR: درک این سیستم برای درک حمله

قبل از بحث در مورد حمله، باید نحوه عملکرد USR را روشن کنیم - زیرا مهاجم از هوشمندانه‌ترین و در عین حال شکننده‌ترین بخش طراحی آن سوءاستفاده کرده است.

مکانیسم اصلی USR: استیبل کوین دلتا-خنثی

USR نه یک استیبل کوین با پشتوانه سپرده‌های بانکی مانند USDT است و نه یک استیبل کوین با وثیقه بیش از حد مانند DAI. این یک استیبل کوین خنثی از دلتا است - ساختاری که با «نگهداری لحظه‌ای اتریوم در حین فروش استقراضی قراردادهای دائمی اتریوم» به خنثی بودن ریسک خالص دست می‌یابد [یادداشت 1].

منطق به شرح زیر است:
وقتی شما ۱ دلار اتریوم برای ضرب ۱ دلار آمریکا واریز می‌کنید، پروتکل Resolv همزمان یک موقعیت فروش (short position) معادل در بازار قراردادهای دائمی باز می‌کند. اگر قیمت اتریوم افزایش یابد، معامله نقدی سود می‌کند در حالی که قرارداد ضرر می‌کند؛ اگر قیمت اتریوم کاهش یابد، قرارداد سود می‌کند در حالی که معامله نقدی ضرر می‌کند - این دو اثر یکدیگر را خنثی می‌کنند و ارزش خالص دارایی تقریباً برابر با ۱ دلار باقی می‌ماند. این امر USR را از قیمت ETH جدا می‌کند و در عین حال نسبت ۱:۱ دلار را حفظ می‌کند [یادداشت ۲].

مزیت این ساختار، راندمان بالای سرمایه آن است: شما فقط به ۱ دلار اتریوم نیاز دارید تا ۱ دلار آمریکا بدون نیاز به وثیقه اضافی ضرب کنید. منبع درآمد از نرخ تأمین مالی موقعیت پوشش ریسک (کارمزد پرداختی توسط خریداران به فروشندگان) و پاداش‌های استیکینگ اتریوم حاصل می‌شود که به دارندگان USR اجازه می‌دهد حدود ۵ تا ۶ درصد بازده سالانه کسب کنند، و نسخه استیکینگ شده stUSR نرخ‌های حتی بالاتری را به همراه دارد [یادداشت ۳].

ساختار دو لایه: جداسازی ریسک USR و RLP

برای پاسخ به این سوال که «چه کسی ریسک عملیاتی پروتکل را متحمل می‌شود»، ریزول یک ساختار دو توکنی طراحی کرد:

لایه USR (اولویت بالا): دارندگان از حمایت ثابت و ثابتی برخوردارند و ضرر و زیان متوجه آنها نیست.

لایه RLP (رده جوان): دارندگان RLP به عنوان "صندوق بیمه" پروتکل عمل می‌کنند، ریسک بازار، ریسک طرف مقابل (مانند نرخ‌های تأمین مالی منفی پایدار) و ریسک‌های احتمالی قرارداد را متحمل می‌شوند و بازده بالاتری (20 تا 40 درصد سالانه) را به عنوان غرامت دریافت می‌کنند [یادداشت 4].

قوانین واضح هستند: هرگونه ضرر و زیان ابتدا از RLP و سپس از USR کسر می‌شود. وقتی نسبت وثیقه USR به زیر ۱۱۰٪ برسد، بازخریدهای RLP به طور خودکار مسدود می‌شوند تا اولویت با حفاظت از دارندگان USR باشد [یادداشت ۵].

این یک فرضیه کلیدی برای درک توزیع ضرر ناشی از این حمله است.

هسته حمله: چه مشکلی در عملکرد ضرب سکه پیش آمد؟

این در حال حاضر مهم‌ترین و ناقص‌ترین بخش اطلاعات است. داده‌های درون زنجیره‌ای یک چیز را تأیید کرده‌اند: مهاجم با ۱۰۰۰۰۰ دلار USDC، معادل ۵۰ میلیون دلار USR را «خریداری» کرده است [1]. این نسبت ضرب سکه ۱:۵۰۰ نشان می‌دهد که اعتبارسنجی مبلغ قرارداد برای ضرب سکه کاملاً با شکست مواجه شده است.

صندوق رمزنگاری D2 Finance سه فرضیه مسیر حمله احتمالی را پیشنهاد کرد [یادداشت 9]:

فرضیه الف: دستکاری اوراکل. قیمت ضرب USR به پیشگویی‌های قیمت متکی است. اگر مهاجم بتواند به طور موقت قیمت پیشنهادی اوراکل را در یک تراکنش کاهش دهد (برای مثال، با کاهش قیمت از طریق وام فوری)، قرارداد ممکن است باور کند که ارزش دارایی سپرده‌گذاری شده توسط کاربر بالاتر است و امکان ضرب USR اضافی را فراهم کند [6].

فرضیه ب: سازش امضاکننده خارج از زنجیره. فرآیند استخراج Resolv شامل یک مرحله تأیید امضای خارج از زنجیره است - درخواست‌های استخراج کاربران برای اجرا باید توسط سرویس backend پروتکل امضا شوند. اگر این کلید امضا به سرقت برود، مهاجم می‌تواند دستورالعمل‌های قانونی ضرب سکه را برای هر مبلغی جعل کند و تمام محدودیت‌های درون زنجیره‌ای را دور بزند [2].

فرضیه ج: اعتبارسنجی مبلغ بین درخواست و اجرا انجام نشده است. فرآیند ضرب سکه به «آغاز درخواست» و «اجرای ضرب سکه» تقسیم می‌شود. اگر قرارداد به طور دقیق تأیید نکند که مبلغ نهایی اجرا با مبلغ درخواستی در طول اجرا مطابقت دارد، مهاجم ممکن است پارامترهای بین شروع درخواست و اجرا را دستکاری کند و به ضرب سکه اضافی دست یابد.

تا زمان نگارش این گزارش، Resolv هنوز تحلیل ریشه‌ای (RCA) کاملی از این آسیب‌پذیری منتشر نکرده است، بنابراین اولویت سه فرضیه فوق را نمی‌توان به طور قطعی تأیید کرد.

بر اساس اثرات حمله، فرضیه B (به خطر افتادن کلید امضاکننده) یا فرضیه C (از دست دادن منطق اعتبارسنجی) محتمل‌تر به نظر می‌رسد - زیرا دستکاری اوراکل معمولاً به بودجه قابل توجهی نیاز دارد و دستیابی به چنین انحرافات شدید قیمتی دشوار است؛ در حالی که 80 میلیون USR ضرب شده شامل بودجه بسیار محدودی از سوی مهاجم بود که بیشتر با ویژگی‌های «دور زدن اعتبارسنجی قرارداد» مطابقت دارد.

چگونه مهاجم پول را نقد کرد: یک کتاب درسی برای اسکریپت خروج از دیفای

پس از به دست آوردن ۸۰ میلیون USR، مهاجم با چالش تبدیل استیبل کوین‌های جعلی به ارزش واقعی مواجه شد.

D2 Finance از این به عنوان «مسیر نقد کردن پول توسط هکر DeFi در سطح کتاب درسی» یاد کرد: مهاجم USR را به صورت دسته‌ای به چندین پروتکل نقدینگی ارسال کرد و فروش بزرگی را در استخر USR/USDC شرکت Curve Finance (بزرگترین استخر نقدینگی برای USR، با حجم معاملات روزانه 3.6 میلیون دلار) در اولویت قرار داد [10].

از آنجا که نقدینگی Curve محدود است، وقتی ناگهان ۸۰ میلیون USR به آن سرازیر شد، کل موجودی کاملاً از بین رفت - قیمت USR در عرض ۱۷ دقیقه از ۱ دلار به ۲.۵ سنت کاهش یافت. مهاجم انتظار نداشت همه چیز را به قیمت ۱ دلار بفروشد، بلکه قصد داشت آن را به تدریج در محدوده ۰.۲۵ تا ۰.۵۰ دلار به USDC/USDT تبدیل کند و در نهایت وجوه آربیتراژ را به ETH تبدیل کند تا عملیات پاکسازی کامل شود.

پک‌شیلد تخمین زد که مبلغ نهایی برداشت حدود 25 میلیون دلار بوده است [11] - با توجه به ضررهای ناشی از افت ارزش ناشی از فروش مقدار زیادی USR با قیمت‌های بسیار پایین، این رقم نشان می‌دهد که نرخ استخراج واقعی مهاجم حدود 30٪ (25 میلیون دلار / 80 میلیون دلار) بوده است. ۷۰ درصد باقی‌مانده از «ارزش» در افت شدید قیمت ناشی از اتمام نقدینگی ناپدید شد.

سوم. بعد از دپگ: چه اتفاقی برای USR، RLP و سیستم وثیقه افتاد؟

نسبت وثیقه‌گذاری USR فوراً سقوط کرد

در حالت عادی، USR به صورت ۱:۱ توسط ETH + موقعیت‌های پوشش ریسک پشتیبانی می‌شود. با این حال، پس از اینکه ۸۰ میلیون USR بدون وثیقه در سیستم ضرب شد، دارایی‌های واقعی مربوط به کل عرضه USR برای بازخرید ۱:۱ به هیچ وجه کافی نبود - نسبت وثیقه به طور قابل توجهی به زیر ۱۰۰٪ کاهش یافت.

این امر مستقیماً مکانیسم حفاظتی لایه RLP را فعال کرد - این پروتکل از لحاظ تئوری، بازخریدهای RLP را مسدود می‌کرد تا حفاظت از دارندگان USR را در اولویت قرار دهد. با این حال، در همان زمان، از آنجایی که خود USR قبلاً از ارزش خود کاسته بود (در بازار ثانویه با قیمت حدود 0.87 دلار معامله می‌شد)، دارندگان USR نیز با ضرر ناشی از فروش با قیمت‌های بازار مواجه شدند.

نقدینگی‌های آبشاری در پروتکل‌های وام‌دهی

این یکی از کم‌اهمیت‌ترین خسارات جانبی در این حادثه است.

رشد Resolv تا حد زیادی به یک استراتژی متکی بود: کاربران USR را به عنوان وثیقه در پروتکل‌های وام‌دهی مانند Morpho، Fluid و Euler واریز می‌کردند، USDC قرض می‌گرفتند و سپس USR بیشتری خریداری می‌کردند و موقعیت‌های حلقه‌ای اهرمی ایجاد می‌کردند، به طوری که برخی از کاربران نسبت اهرمی تا 10 برابر داشتند [3].

وقتی قیمت USR از ۱ دلار به ۰.۸۷ دلار یا حتی کمتر سقوط کرد، ارزش وثیقه این موقعیت‌های اهرمی فوراً بیش از ۱۳ درصد از بین رفت. از آنجایی که پروتکل‌های وام‌دهی به طور خودکار وقتی نسبت وثیقه‌گذاری به زیر خط نقدینگی می‌رسد، نقدینگی را اجباری می‌کنند، مقدار زیادی از USR توسط ربات‌ها نقدینگی شد و بازار ثانویه را با USR بیشتری پر کرد که باعث کاهش بیشتر قیمت‌ها شد - و یک فشار مارپیچ مرگ کلاسیک ایجاد کرد [7].

مورفو یک «خزانه USR برای MEV Capital Resolve» اختصاصی داشت، با TVL که قبل از حمله به مقیاس قابل توجهی رسیده بود، و این مواضع حامل اصلی خسارات جانبی بودند [4].

کاهش چشمگیر پروتکل TVL

ارزش کل دارایی‌های از دست رفته (TVL) شرکت Resolv قبل از حمله به چند صد میلیون دلار افزایش یافته بود (که در اوج خود به بیش از ۶۵۰ میلیون دلار رسیده بود، که عمدتاً ناشی از موقعیت‌های اهرمی در Morpho و Euler بود). پس از تعلیق پروتکل، کاربران نتوانستند USR را بازخرید کنند و محاسبه رقم TVL نیز به دلیل کاهش اعتبار USR دچار هرج و مرج شد [5].

چهارم. چه کسی ضرر و زیان را متحمل می‌شود؟ تحلیل ریسک‌های سرمایه‌گذاری

دارندگان RLP از نظر طراحی، اولین لایه ضرر هستند. کمبود وثیقه ناشی از حمله (۸۰ میلیون USR بدون وثیقه ضرب شده) مستقیماً به صورت کاهش ارزش خالص RLP منعکس خواهد شد - قیمت RLP گواهی سهام برای بخش بیش از حد وثیقه گذاری شده پروتکل است. وقتی کل پروتکل بدهی‌های کشف نشده ایجاد می‌کند، RLP ابتدا مستهلک می‌شود [6].

دارندگان موقعیت‌های اهرمی USR کسانی هستند که بیشترین ضرر واقعی را متحمل می‌شوند. آنها نه تنها با انحلال مواجه می‌شوند (انحلال معمولاً با جریمه ۵ تا ۱۰ درصدی همراه است)، بلکه دارایی‌های خود را در طول تثبیت USR زیر قیمت تثبیت‌شده فروخته‌اند و ضررهای خود را چند برابر کرده‌اند.

ارائه دهندگان نقدینگی Curve LP متحمل ضررهای موقتی می‌شوند - هنگامی که مهاجم مقدار زیادی USR فروخت، استخر LP به صورت غیرفعال مقدار زیادی USR را جذب کرد (USDC را فروخت و USR با قیمت پایین بیشتری را نگه داشت) که منجر به ضررهای آربیتراژ شد [8].

دارندگان عادی USR: طبق این طرح، اگر پروتکل به طور معمول مکانیسم تعلیق را فعال کند، دارندگان USR می‌توانند با نسبت ۱:۱ با وثیقه واقعی باقی مانده، آن را بازخرید کنند. با این حال، مشکل این است که پس از حمله، پروتکل تمام عملکردها را به حالت تعلیق درآورده، پنجره بازخرید بسته شده است و فروشندگان واقعی فقط می‌توانند با قیمت بازار ۰.۸۷ دلار معامله کنند و ۱۳٪ ضرر ناشی از عدم وابستگی را متحمل شوند.

وی. واکنش اضطراری: اقدامات انجام شده توسط تیم RESOLV

اولین واکنش تیم Resolv این بود که فوراً تمام عملکردهای پروتکل، از جمله ضرب سکه، بازخرید و انتقال را به حالت تعلیق درآورد تا کانال‌های عملیاتی بیشتر مهاجم را قطع کند [1].

در زمان نگارش این گزارش، شرکت Resolv وقوع این حمله را به طور عمومی تأیید کرده است، اما هنوز گزارش کامل تجزیه و تحلیل پس از وقوع و طرح رسمی جبران خسارت منتشر نشده است. این با جدول زمانی معمول پاسخگویی برای حوادث امنیتی DeFi همسو است - تیم معمولاً قبل از اعلام برنامه‌های اصلاحی دقیق، به ۴۸ تا ۷۲ ساعت زمان نیاز دارد تا جمع‌آوری شواهد درون زنجیره‌ای و تأیید آسیب‌پذیری را تکمیل کند.

شایان ذکر است که Resolv پیش از این با Immunefi برای ایجاد یک برنامه پاداش در ازای اشکال همکاری کرده و سیستم نظارت امنیتی پیشگیرانه Hypernative را مستقر کرده بود [7]. از لحاظ تئوری، مورد دوم باید بتواند سیگنال‌های هشدار اولیه مربوط به رویدادهای غیرعادی ضرب سکه را ثبت کند - که این سوال را مطرح می‌کند که آیا سیستم هشدار به موقع فعال شده است یا سرعت حمله از حد مجاز مداخله انسان فراتر رفته است.

با توجه به سرعت بسیار بالای سقوط USR به ۲.۵ سنت در عرض ۱۷ دقیقه، راندمان اجرای حمله بسیار بالا و با زمان پاسخ بسیار محدود بود.

ششم. هشدارها برای پروتکل‌های مشابه: ریسک‌های سیستمی استیبل کوین‌های دلتا-خنثی

حادثه Resolv منحصر به فرد نیست؛ این یک شکست معمولی با پیامدهای قابل توجه در فضای «دلار مصنوعی» DeFi است.

درس اصلی اول: امضاکنندگان خارج از زنجیره، یک خطر متمرکز هستند. استیبل کوین‌های خنثی از دلتا اغلب برای تأیید سفارش، خدمات بک‌اند خارج از زنجیره را معرفی می‌کنند تا به ضرب کارآمد دست یابند. این «جزء خارج از زنجیره» اساساً یک گره قدرت متمرکز است - اگر کلید خصوصی آن فاش شود، مهاجم عملاً حق ضرب پروتکل را به دست می‌آورد. این امر نقاط ضعف امنیتی وب2 را به وب3 وارد می‌کند [8].

درس اصلی دوم: «راندمان سرمایه ۱:۱» یک شمشیر دولبه است. فلسفه طراحی سیستم‌های با وثیقه بیش از حد (مانند MakerDAO) این است که حتی اگر قرارداد آسیب‌پذیری‌های جزئی داشته باشد، وثیقه بافر اضافی می‌تواند بخشی از ضررها را جذب کند. سیستم دلتا-خنثی، بافر را به صفر کاهش می‌دهد - هرگونه نقص در منطق ضرب، مستقیماً باعث کمبود سیستم متناسب می‌شود، بدون اینکه افزونگی ایجاد شود.

درس اصلی سوم: رشد سریع TVL از حسابرسی‌ها پیشی می‌گیرد. ارزش کل دارایی‌های از دست رفته (TVL) شرکت Resolv تنها در عرض سه ماه از کمتر از ۵۰ میلیون دلار به بیش از ۶۵۰ میلیون دلار افزایش یافت که عمدتاً ناشی از استراتژی‌های حلقه‌ای اهرمی در Morpho بود. گسترش سریع پیچیدگی سیستم و نکات ادغام، فشار زیادی را بر حسابرسی‌ها وارد کرد. درس‌های مشابهی در طول تاریخ دیفای دیده شده است: اویلر فایننس (مارس 2023، 197 میلیون دلار ضرر)، اینورس فایننس (آوریل 2022، 15.6 میلیون دلار) تراژدی‌هایی از «عقلانیت طراحی اما با منطق ضرب/قرض‌گیری دارای نقص‌های جزئی» هستند [9].

هفتم. نتیجه‌گیری اصلی

این حمله نه تنها یک آسیب‌پذیری قرارداد، بلکه یک تناقض عمیق در معماری استیبل کوین‌های دلتا-خنثی را آشکار می‌کند.

نقطه شروع داستان، طراحی بلندپروازانه USR است: عدم اتکا به ذخایر فیات، عدم اتکا به وثیقه‌گذاری بیش از حد، بلکه صرفاً اتکا به مشتقات پوشش ریسک برای دستیابی به کارایی سرمایه ۱:۱. این طراحی در فاز صعودی کاملاً خوب عمل می‌کند - کاربران با هر دلار اتریوم، ۱ دلار آمریکا استخراج می‌کنند، پروتکل به کاربران نرخ‌های تأمین مالی پاداش می‌دهد و صدها میلیون TVL به سرعت جمع می‌شود.

با این حال، «کارایی سرمایه ۱:۱» همزمان به این معنی است که سیستم اصلاً هیچ بافر وثیقه‌ای ندارد. به محض اینکه یک آسیب‌پذیری در منطق استخراج رخ دهد - چه به دلیل فاش شدن کلیدهای امضاکننده خارج از زنجیره و چه به دلیل عدم اعتبارسنجی بین درخواست و اجرا - مهاجم می‌تواند هر مقدار استیبل کوین را تقریباً با هزینه صفر ایجاد کند. این مانند سیستم‌های بیش از حد وثیقه‌گذاری شده که دارای یک شبکه ایمنی هستند، نیست؛ بلکه مستقیماً به سیستم نفوذ می‌کند.

تولد ۸۰ میلیون USR تنها ۱۰۰۰۰۰ دلار، ۱۷ دقیقه و با کف قیمت ۲.۵ سنت طول کشید. مهاجم ۲۵ میلیون دلار ارزش واقعی استخراج کرد و پروتکل را با یک سیاه‌چاله در انتظار ترمیم رها کرد - و صورتحسابی که توسط دارندگان RLP، کاربران موقعیت اهرمی و Curve LPها نوشته شده بود، همگی هزینه‌های واقعی را متحمل شدند.

آسیب‌های جانبی به پروتکل‌های پیرامونی مانند Curve، Morpho، Fluid و Euler، جنبه‌ی دیگری از «قابلیت ترکیب‌پذیری بیش از حد» دنیای DeFi را نشان می‌دهد: ادغام بین پروتکل‌ها در مواقع عادی سود را افزایش می‌دهد، اما در مواقع بحرانی، خطرات را نیز تشدید می‌کند. در نهایت، اهمیت هشداردهنده این حادثه این است که در DeFi، هر پنجره بهره‌وری که باز می‌کنید، یک سطح حمله است که در معرض آن قرار می‌گیرید. وجود امضاکنندگان خارج از زنجیره، پروتکل را انعطاف‌پذیرتر می‌کند، اما همچنین یک ضعف مهلک متمرکز را ایجاد می‌کند.

یادداشت‌ها

[نکته ۱] نول دلتا: یک اصطلاح مشتقه مالی. دلتا حساسیت قیمت یک دارایی را نسبت به تغییرات قیمت دارایی پایه اندازه‌گیری می‌کند. «دلتا=۰» به این معنی است که موقعیت با نوسانات قیمت دارایی پایه سود یا زیان نمی‌کند - یعنی کاملاً پوشش ریسک داده شده است. برای Resolv، نگه داشتن ۱ دلار ETH (دلتا = +۱) و فروش استقراضی معادل آن از قراردادهای آتی ETH (دلتا = -۱) منجر به دلتای خالص = ۰ می‌شود، از این رو به آن «دلتا خنثی» می‌گویند.

[یادداشت ۲] قراردادهای آتی دائمی: نوعی قرارداد آتی بدون تاریخ انقضا، یک ابزار مشتقه اصلی در بازار ارزهای دیجیتال. نگه داشتن یک قرارداد فروش دائمی به معنای سود بردن در هنگام کاهش قیمت اتر و ضرر کردن در هنگام افزایش آن است، بنابراین ریسک قیمت لحظه‌ای اتر را پوشش می‌دهد.

[یادداشت ۳] نرخ تأمین مالی: یک مکانیسم متعادل کننده در بازار آتی دائمی وقتی موقعیت‌های خرید (Long) از موقعیت‌های فروش (Short) بیشتر می‌شود، خریداران (Long) به صورت دوره‌ای «کارمزد تأمین مالی» (Funding Fees) به فروشندگان (Shorts) می‌پردازند و برعکس. به عنوان طرف فروش، Resolv معمولاً در یک بازار صعودی کریپتو، به جمع‌آوری کارمزدهای تأمین مالی ادامه می‌دهد که منبع اصلی درآمد آن است.

[یادداشت ۴] بخش نوجوانان: در یک ساختار لایه‌ای مالی، سرمایه‌گذاران بخش کوچک اولین کسانی هستند که هنگام وقوع ضرر متحمل می‌شوند (معادل «زیان اول»)، اما می‌توانند در طول توزیع سود، غرامت حق بیمه ریسک بالاتری نیز دریافت کنند. RLP به عنوان بخش کوچک‌تر پروتکل Resolv عمل می‌کند، در حالی که USR به عنوان بخش ارشد عمل می‌کند.

[یادداشت ۵] خط شروع نسبت وثیقه‌گذاری ۱۱۰٪: این بدان معناست که ارزش کل دارایی‌های وثیقه‌ای USR، ۱.۱ برابر کل گردش USR است. پایین‌تر از این خط، بازخریدهای RLP به حالت تعلیق در می‌آیند تا اطمینان حاصل شود که دارایی‌های باقی‌مانده برای بازخرید دارندگان USR در اولویت قرار می‌گیرند.

[یادداشت 6] وام فوری: یک ابزار قرض‌گیری بدون وثیقه منحصر به فرد در DeFi، که مستلزم تکمیل قرض گرفتن و بازپرداخت در همان تراکنش (همان بلوک) است. مهاجمان می‌توانند به‌طور موقت مقادیر زیادی وجه برای دستکاری قیمت‌ها به‌دست آورند، البته تا زمانی که قبل از پایان تراکنش، وجه را بازپرداخت کنند و تقریباً هیچ هزینه سرمایه‌ای متحمل نشوند.

[یادداشت ۷] مارپیچ مرگ: یک فروپاشی خودتقویت‌کننده در طول اهرم‌زدایی: قیمت دارایی‌ها کاهش می‌یابد → باعث انحلال می‌شود → دارایی‌های بیشتری فروخته می‌شوند → قیمت‌ها بیشتر کاهش می‌یابند → باعث انحلال بیشتر می‌شوند و غیره.

[یادداشت ۸] ضرر ناپایدار: ریسک منحصر به فردی که ارائه دهندگان نقدینگی بازارساز خودکار (AMM) با آن مواجه هستند. وقتی نسبت قیمت دو دارایی در یک مجموعه از حالت اولیه منحرف شود، ارزش سبد دارایی‌های LP کمتر از نگهداری مستقیم دو دارایی خواهد بود و این تفاوت، ضرر ناپایدار است.

[یادداشت ۹] تحلیل D2 Finance / CoinTelegraph، به نقل از نظر D2 Finance: یا اوراکل به بازی گرفته شده، یا امضاکننده خارج از زنجیره به خطر افتاده، یا اعتبارسنجی مبلغ بین درخواست و تکمیل به سادگی انجام نشده است. همان منبع.

[یادداشت 10] کوین تلگراف گزارش داد که حجم معاملات 24 ساعته USR در استخر Curve USR/USDC برابر با 3.6 میلیون دلار بوده است و قیمت آن در ساعت 2:38 به وقت جهانی به 2.5 سنت کاهش یافته است.

[یادداشت 11] داده‌های تخمینی PeckShield، به نقل از CoinTelegraph، همان منبع: «پک‌شیلد تخمین زد که مهاجم توانسته حدود ۲۵ میلیون دلار از این حمله در میان وابستگی‌های USR به دست آورد.»