Et sikkerhetsbrudd hos Resolv Labs gjorde det mulig for en angriper å skape over $ 80 millioner i ustøttede USR stablecoins. Dette førte til at tokenet mistet sin dollarpegg voldsomt og falt til 25 cent.
I følge blokkjede-sikkerhetsanalytikere hos Cyvers skjedde dette angrepet på grunn av en feil i logikken rundt minting. Kontraktene var revidert, men feilen tillot likevel uautorisert minting uten skikkelig validering.
Utnyttelsen kom etter en periode med omfattende og uforklart kapitalflukt fra protokollen. Data fra BeInCrypto viser at USR sin totale markedsverdi falt fra omtrent $ 400 millioner tidlig i februar til bare $ 100 millioner uker før angrepet.
Resolv stanser protokoll etter at USR faller til 25 cent
Dette raske likviditetsfallet på 75 % reiser viktige spørsmål om hvorvidt innsidere eller store investorer rolig avviklet posisjonene sine før kollapsen.
I følge on-chain-data brukte angriperen innledningsvis $ 100 000 i USD Coin for å utnytte sårbarheten.
Blokkjede-sikkerhetsfirmaet PeckShield anslår at det totale beløpet av kunstig generert USR er $ 80 millioner. Ifølge firmaet ble angrepet utført gjennom en opprinnelig mint på $ 50 millioner og deretter en på $ 30 millioner.
Angriperen solgte umiddelbart de ustøttede tokenene i decentraliserte børsers likviditetspooler, og hentet ut over $ 24 millioner i Ethereum.
På tross av den kraftige markedsreaksjonen hevdet Resolv Labs at selskapets sikkerhetsmasse “forblir intakt”, og at ingen underliggende aktiva gikk tapt. Selskapet sa at deres høyeste prioritet er å beskytte reelle brukere mot konsekvensene.
Disse uttalelsene står i sterk kontrast til markedets realitet, da private investorer som eier USR nå sitter med store tap etter fallet på 74 %. Resolv har satt alle protokollfunksjoner på pause på ubestemt tid.
Sikkerhetsforskere antyder at hendelsen skyldes grov arkitektonisk uaktsomhet heller enn avansert kryptografisk angrep.
“Det er akkurat her stablecoin-risikoen blir reell. Revisjoner alene er ikke nok – hvis du ikke overvåker minting og tilførsel i sanntid, er du blind når det gjelder som mest. Hver protokollinteraksjon må overvåkes kontinuerlig, og avvik i minting, prising eller likviditet må stoppes før de rekker å spre seg. Det er den eneste måten å stoppe slike hendelser før de utvikler seg,” sier Cyvers-sjef og medgründer Deddy Lavid til BeInCrypto.
Blokkjedeanalytiker Andrew Hong rapporterte at en enkel Externally Owned Address (EOA) kontrollerte en kritisk “service-rolle” i protokollen.
I stedet for å bruke en trygg multsignatur-kontrakt, lot protokollen en enkelt privat nøkkel sikre denne vanlige krypto-lommeboken.
Ytterligere kritikk kom fra DeFi-plattformen YieldsAndMore, som påpekte at denne spesifikke administrative rollen manglet grunnleggende sikkerhetstiltak, inkludert maksimal mint-grense og sjekk mot pris-orakel.
Som et resultat mener analytikere at hendelsen trolig skyldes en kompromittert privat nøkkel eller en potensiell innsideoperasjon.
