En sikkerhedsfejl hos Resolv Labs har gjort det muligt for en angriber at mint mere end 80 millioner dollars i ikke-understøttede USR stablecoins. Det fik tokenet til voldsomt at miste sin dollar-peg og styrtdykke til 25 cent.
Ifølge blockchain-sikkerhedsanalytikere hos Cyvers skete udnyttelsen på grund af en fejl i mint-funktionen. Kontrakterne var blevet gennemgået, men problemet gjorde det alligevel muligt at mint uden korrekt godkendelse.
Udnyttelsen fulgte efter en periode med massiv og uforklarlig kapitalflugt fra protokollen. Ifølge BeInCrypto-data faldt USR’s samlede kapitalisering fra cirka 400 millioner dollars i begyndelsen af februar til kun 100 millioner dollars uger før angrebet.
Resolv sætter protokollen på pause efter USR falder til 25 cent
Det hurtige likviditetsfald på 75% rejser vigtige spørgsmål om, hvorvidt indsidere eller store investorer stille og roligt afviklede deres positioner forud for sammenbruddet.
On-chain data viser, at angriberen brugte 100.000 dollars i USD Coin til at udløse sårbarheden.
Blockchain-sikkerhedsfirmaet PeckShield vurderer, at den samlede mængde kunstigt genererede USR er 80 millioner dollars. Ifølge firmaet blev angrebet udført gennem først et mint på 50 millioner dollars og derefter et på 30 millioner dollars.
Angriberen solgte straks de ikke-understøttede tokens i decentraliserede børsernes likviditetspuljer og lykkedes dermed at trække mere end 24 millioner dollars i Ethereum ud.
På trods af det store markedsnedbrud hævdede Resolv Labs, at dets sikkerhedspulje “forbliver fuldt intakt”, og at ingen underliggende aktiver er gået tabt. Virksomheden udtalte, at dens førsteprioritet nu er at beskytte legitime brugere mod konsekvenserne.
Denne udmelding fra virksomheden står i skarp kontrast til virkeligheden for private investorer, som nu sidder med store tab efter et fald på 74%. Resolv har sat alle protokolfunktioner på pause på ubestemt tid.
Sikkerhedsforskere mener, at hændelsen skyldes grov arkitektonisk forsømmelse og ikke avanceret kryptografisk teknik.
“Det er præcis her, hvor stablecoin-risikoen bliver reel. Revisioner alene er ikke nok: Hvis du ikke overvåger mint og udbud i realtid, er du blind, når det gælder. Hver eneste interaktion med protokollen skal overvåges løbende, og uregelmæssigheder i minting, kurs eller likviditet skal stoppes, før de spreder sig. Det er den eneste måde at begrænse begivenheder som det her, før de udvikler sig,” sagde Cyvers’ direktør & medstifter Deddy Lavid til BeInCrypto.
Blockchainanalytiker Andrew Hong oplyste, at en almindelig Externally Owned Address (EOA) kontrollerede en central “service-rolle” i protokollen.
I stedet for at bruge en sikker multisignatur-kontrakt lod protokollen en enkelt privatnøgle styre denne almindelige crypto wallet.
Yderligere påpegede DeFi-platformen YieldsAndMore , at netop denne administrative rolle manglede grundlæggende sikkerhedsforanstaltninger som maksimale mint-grænser og kurs-orakel-tjek.
Som konsekvens vurderer analytikere, at hændelsen stærkt peger på en kompromitteret privatnøgle eller et muligt insider-angreb.
