🧵1/ ⚠️ Analýza exploitu: ztráta 80 milionů dolarů při útoku Resolv Labs Dnes dříve byl @ResolvLabs zneužit kvůli selhání jeho centralizovaného mechanismu ověřování parametrů. S pouhými ~200 tisíci USD kapitálu útočník vyrazil 50 milionů a 30 milionů amerických dolarů s použitím 100 tisíc USDC každý, což vedlo k celkové ztrátě kolem 80 milionů dolarů. Po incidentu $USR stablecoin krátce deped na 0,051 $.

🧵2/ Mechanismus útoku Funkce completeSwap v #TheCounter kontraktu Resolv Labs umožňuje určit množství vyražených $USR pomocí parametru _targetAmount.

🧵3/ Funkce completeSwap kontroluje, zda adresa volajícího (msg.sender) musí obsahovat SERVICE_ROLE. To znamená, že po odeslání swapové transakce uživatelem musí projektový tým provést centralizovanou validaci parametrů, jako je _targetAmount, a teprve po potvrzení správnosti tuto funkci vyvolá k dokončení transakce. Na základě těchto dvou útočných transakcí odpovídalo 100 000 USD _targetAmount hodnotám 50 milionů a 30 milionů USR. Je zřejmé, že mechanismus ověřování _targetAmount projektu selhal. Protože validace _targetAmount je centralizovaná a není open-source, kořenová příčina není v této fázi určena. Nelze vyloučit možnosti jako zapojení zevnitř, kompromitace centralizovaného systému nebo únik SERVICE_ROLE soukromého klíče.

2/ Mechanismus útoku Funkce completeSwap v #TheCounter kontraktu Resolv Labs umožňuje určit množství vyražených $USR pomocí parametru _targetAmount.