Turvallisuus-puute Resolv Labsissa antoi hyökkääjälle mahdollisuuden luoda yli 80 miljoonan dollarin edestä katteettomia USR stablecoineja. Tämän seurauksena token menetti rajusti dollarikiinnityksensä ja romahti 25 senttiin.
Cyversin Blockchain Security -analyytikkojen mukaan hyökkäys tapahtui virheen vuoksi minttaamislogiikassa. Sopimukset oli auditoitu, mutta tämä puute mahdollisti valtuuttamattoman minttaamisen ilman asianmukaista tarkistusta.
Hyökkäys tapahtui protokollan koettua suurta ja selittämätöntä pääomapaon kautta. BeInCrypton tiedot osoittavat, että USR:n kokonaismarkkina-arvo laski noin 400 miljoonasta dollarista helmikuun alussa vain 100 miljoonaan dollariin viikkoja ennen hyökkäystä.
Resolv keskeyttää protokollan USR:n romahtaessa 0,25 dollariin
Nopea 75 %:n likviditeetin supistuminen herättää tärkeitä kysymyksiä siitä, purkivatko sisäpiiriläiset tai suuret sijoittajat hiljaisesti omistuksiaan ennen romahtamista.
On-chain-datan perusteella hyökkääjä käytti aluksi 100 000 dollaria USD Coinia hyödyn aktivoimiseen.
Blockchain-turvayritys PeckShield arvioi, että keinotekoisesti luotujen USR-tokenien kokonaissumma on 80 miljoonaa dollaria. Yrityksen mukaan hyökkäys toteutettiin ensin 50 miljoonan dollarin mintillä ja tämän jälkeen vielä 30 miljoonan dollarin lisämintillä.
Hyökkääjä myi välittömästi katteettomat tokenit decentralisoitujen pörssien likviditeettipoolien kautta ja onnistui vetämään yli 24 miljoonaa dollaria Ethereumina ulos.
Vaikka markkinavaikutukset olivat vakavat, Resolv Labs ilmoitti, että sen vakuuspooli “on täysin turvassa” eikä se ole menettänyt taustalla olevia omaisuuseriä. Yrityksen mukaan kiireellisin prioriteetti on suojella laillisia käyttäjiä tapahtumien seurauksilta.
Yrityksen viestintä poikkeaa jyrkästi markkinatilanteesta, sillä yksityis-sijoittajat, jotka pitävät hallussaan USR:ää, kärsivät nyt merkittäviä tappioita 74 %:n romahduksen jälkeen. Resolv on keskeyttänyt kaikki protokollan toiminnot toistaiseksi.
Turvallisuustutkijat arvioivat, että tapahtuma johtuu vakavasta arkkitehtuurivirheestä eikä kehittyneestä kryptografisesta hyökkäyksestä.
”Juuri tässä stablecoin-riski osoittautuu todelliseksi. Auditoinnit eivät yksin riitä – jos et seuraa minttausta ja tarjontaa reaaliajassa, olet sokea silloin kun sillä on eniten merkitystä. Jokaista protokolla-interaktiota tulee valvoa jatkuvasti, ja poikkeavuudet minttauksessa, hinnassa tai likviditeetissä on pysäytettävä ennen niiden leviämistä laajemmalle. Vain näin voidaan rajoittaa tällaisia tapahtumia ennen niiden vyörymistä,” Cyversin toimitusjohtaja ja perustaja Deddy Lavid totesi BeInCryptolle.
Blockchain-analyytikko Andrew Hong raportoi, että tavallinen Externally Owned Address (EOA) hallitsi protokollan olennaista “service role” -asemaansa.
Sen sijaan, että olisi käytetty turvallista moniallekirjoitussopimusta, protokolla salli yhden yksityisen avaimen suojata tämän kryptolompakon.
Lisätäkseen kriittisyyttä YieldsAndMore DeFi-alusta huomautti, että kyseiseltä hallinnolliselta roolilta puuttuivat tärkeät turvaominaisuudet, kuten maksimiminttirajat ja hinnan määräytymistä varmistavat orakkelitarkistukset.
Tämän seurauksena analyytikot arvelevat, että tapaus viittaa vahvasti kompromissoituun yksityisavaimeen tai mahdolliseen sisäpiiritoimintaan.
