🚨 @ResolvLabs استغلال بمبلغ ~25 مليون دولار استغل المهاجم آلية تبديل ذات خطوتين حيث يتم تمرير المبلغ الكبير كمعامل غير مراقب من قبل خلفية خارج السلسلة مع وصول SERVICE_ROLE. • إيداع فقط 300 ألف دولار USDC عبر 3 معاملات • تم سك 80 مليون + رموز USR • انهار ربط الدولار الأمريكي بسبب تضخم العرض • تم استخراج ~25 مليون دولار وعائد 83x هكذا حدث 🧵👇 ذلك

السبب الجذري؟ لا يوجد تحقق داخل السلسلة على المبالغ الجاهزة. مكالمات المستخدمين requestSwap() مع USDC تستدعي Backend (SERVICE_ROLE) completeSwap() مع مبلغ USR إلى السك المبلغ الصغير يتحكم فيه المتصل بالكامل، ولا يوجد أي فحص على السلسلة يتأكد من أنه يتطابق مع الوديعة تجاوز الصندوق الخلفي المخترق 50 مليون دولار أمريكي لكل إيداع قدره 100 ألف دولار أمريكي. هذا انحراف 500 مرة ولم يرمش العقد.