🚨 @ResolvLabs využito za ~25 milionů dolarů Útočník zneužil dvoustupňový swapový mechanismus, kdy je částka mint předávána jako nekontrolovaný parametr off-chain backendem s SERVICE_ROLE přístupem. • Uloženo pouze 300 000 USD USD na 3 transakcí • Raženy 80M+ USR tokeny • USR vazba zkolabovala kvůli inflaci nabídky • Získal ~$25M a 83x návrat Takto se to stalo 🧵👇

Příčina? Žádné on-chain ověřování mintových čísel. Uživatel volá requestSwap() s USDC Backend (SERVICE_ROLE) volání completeSwap() s částkou USR na mint Částka mincovny je plně kontrolována volajícím, bez kontroly na řetězci, zda odpovídá vkladu Kompromitovaný backend překročil 50 milionů USR za vklad 100 000 USDC. To je 500x odchylka a smlouva neblikla.