🚨 @ResolvLabs USR právě zneužili: tady je kompletní rozpis on-chain h/t @yieldsandmore kdo to označil jako první | Data přes @ArkhamIntel Útočník vložil 100 000 USDC do kontraktu na USR counter od Resolve prostřednictvím requestSwap a obdržel zpět 49 950 000 USR (~39 milionů USD) To je 500× překročení kreditu na zálohu 100 000 dolarů. Funkce razby je rozbitá. Účtenky na řetězci: → 100 000 USDC odesláno na Vyřešit: USR Counter (0xa27a... 5861) → 50 000 000 USR raženo z nulové adresy na Counter → 49 950 000 USR přeposíláno útočníkovi (0x04A288a7... caEd) → 100 000 USDC posláno zprostředkovateli (0xacB7027f... 2b8e) _targetAmount ve vstupních datech zní: 50 000 000 000 000 000 000 000 000 000 (50M × 10^18) RequestSwap → completeSwap je dvoukrokový asynchronní proces. Buď byl oracle obsažen, off-chain signer byl kompromitován, nebo chybí validace mezi požadavkem a dokončením. Útočníkova úniková hra je učebnicový DeFi hack cashout běžící na plné obrátky: Krok 1 — Obalte USR → wstUSR pro přístup k hlubší likviditě DEX 20M USR → 17,65M WSTUSR 15M USR → 13,24M wstUSR Krok 2 — Vysypat wstUSR na všech dostupných místech 8,77M wstUSR → 9,7M USDT (KyberSwap) 2M wstUSR → 2,01M USDC (přímý kontrakt 0x04a2... caed) 1,31M wstUSR → 655K USDT (KyberSwap) 1,31M wstUSR → 148K USDT (KyberSwap — skluz je brutální) 604K wstUSR → 568K USDT 300K wstUSR → 277K USDC (Velora) 300K wstUSR → 303K USDC (Velora) Desítky 100K-150K wstUSR klipů přes Veloru při různých skluzech Krok 3 — Agresivně převést stáje → ETH 4,85 milionu USDT → 2 297 ETH (smlouva 0xbeef... c555) 1,66 milionu USDT → 789 ETH (Uniswap V4) 2,02 milionu USDC → 948 ETH (MetaMask swapy) 1,5 milionu USDT → 703 ETH (MetaMask swapy) 2 miliony USDT → 938 ETH (MetaMask swapy) 808K USDT → 384 ETH 760K USDT → 362 ETH 656K USDT → 312 ETH 370K USDT → 174 ETH Ano, @MetaMask Výměny za vícemilionové 😅 nohy wstUSR se prodává za 0,50–0,88 USD za dolar napříč různými obchody, přičemž pokles se zhoršuje s odlivem likvidity. Na řetězci je vidět více neúspěšných transakcí, což ukazuje naléhavost. Odhadovaná celková extrakce: $25M+ a stále pokračuje. Útočník stále aktivně vyhazuje zbývající pozice WSTUSR v době tohoto příspěvku. Pro kontext: Resolve měl ~$500M+ TVL, odměnu za @immunefi chyby ve výši $500K, integraci do péče o Fireblocks a několik auditů včetně soutěže o Sherlocka. Audity ≠ bezpečnost. Monitorování partnerství ≠ prevence. Hlavní otázka: jak se 100K USDC requestSwap dostal jako 50K USR completeSwap? Někdo by měl vysvětlit, co se stalo mezi těmito dvěma kroky. @PeckShieldAlert @peckshield @SlowMist_Team @hypaboreal byste se na to možná měli podívat 👀

D2 není nijak ovlivněno. Jen jsem u stolu, abych si odpočinul HYPE++, který se vrací zítra 🫡

@hell0men @ResolvLabs @yieldsandmore @arkhamintel Stručně; dr Zdá se, že kontrola přístupu do smlouvy fungovala. Lidská/infrastrukturní vrstva ne.

@cainosullivan @hell0men @ResolvLabs @yieldsandmore @arkhamintel Shrnutí: soutěž Sherlocka a další audity se zaměřovaly na stěny a dveře. Útočník přišel oknem, off-chain backendem, který zásobuje operátorského bota.