Stabilny coin Resolv USR stracił powiązanie z dolarem i spadł o 72% do 0,27 USD po tym, jak atakujący wykorzystał lukę w kontrakcie mintingu protokołu, aby stworzyć około 80 milionów niewspartych tokenów i wyprowadzić około 25 milionów dolarów w Etherze (ETH), pozostawiając projekt w praktyce niewypłacalnym – z 95 milionami dolarów aktywów wobec 173 milionów dolarów zobowiązań.
Atak na kontrakt mintingu
Atak miał miejsce około 2:21 UTC w niedzielę, kiedy exploiter użył dwóch transakcji, aby wybić około 80 milionów tokenów USR bez właściwego zabezpieczenia, jak poinformowały liczne firmy zajmujące się bezpieczeństwem blockchain i dane on-chain.
Następnie atakujący zamienił wybite USR na USDC (USDC) i USDT (USDT) na zdecentralizowanych giełdach, skonsolidował środki w ETH i obecnie posiada 11 409 ETH o wartości około 23,7 miliona dolarów oraz 1,1 miliona dolarów w opakowanym USR w osobnym portfelu.
USR, stabilny coin powiązany z dolarem, który opiera się na delta-neutralnej strategii zabezpieczającej wspartej przez ETH i Bitcoina (BTC), spadł do 0,025 USD w swojej najbardziej płynnej puli na Curve Finance w ciągu 17 minut od pierwszego mintingu.
Później kurs odbił do około 0,85 USD, ale nie udało się przywrócić pełnego powiązania z dolarem.
Przeczytaj także: Trump's 48-Hour Iran Warning: What It Did To BTC, ETH And XRP
Błędy w konstrukcji systemu
Analitycy on-chain ustalili, że podstawowa przyczyna sięga dalej niż to, co Resolv początkowo opisał jako „skompromitowany klucz prywatny” i „ukierunkowany kompromis infrastruktury”.
SERVICE_ROLE, uprzywilejowane konto realizujące żądania swapu w kontrakcie mintingu, było kontrolowane przez pojedyncze zewnętrznie zarządzane konto, a nie multisig. Kontrakt nie miał żadnych sprawdzeń oracle, walidacji kwot ani maksymalnych limitów mintingu — co pozwoliło atakującemu zdeponować 100 000 USDC i otrzymać w zamian 50 milionów USR, czyli około 500 razy więcej niż oczekiwana kwota.
Perspektywy odzyskania środków
Dane DeFiLlama pokazują, że całkowita wartość zablokowana w Resolv osiągnęła szczyt w pobliżu 684 milionów dolarów w lutym 2025 roku, po czym spadła do około 95 milionów dolarów przed exploitem.
Resolv poinformował, że współpracuje z organami ścigania i firmami analityki on-chain oraz że „podejmie wszystkie dostępne działania w celu odzyskania aktywów”. Zespół stanowczo odradził handel USR w czasie wdrażania środków naprawczych, dodając, że „działania użytkowników w okresie po exploicie mogą wpłynąć na odzyskanie środków”.
Następnie przeczytaj: Bitcoin's S&P 500 Correlation Just Flashed A Crash Warning