🚨 @ResolvLabs USR wurde gerade ausgenutzt: hier ist die vollständige On-Chain-Analyse h/t @yieldsandmore, der dies zuerst gemeldet hat | Daten von @ArkhamIntel Ein Angreifer hat 100K USDC in den USR Counter-Vertrag von Resolv über requestSwap eingezahlt und 49.950.000 USR zurückerhalten (~39M $) Das ist eine 500× Überbewertung auf eine Einzahlung von 100K $. Die Minting-Funktion ist defekt. On-Chain-Belege: → 100.000 USDC an Resolv gesendet: USR Counter (0xa27a...5861) → 50.000.000 USR aus der Nulladresse an Counter geprägt → 49.950.000 USR an den Angreifer weitergeleitet (0x04A288a7...caEd) → 100.000 USDC an Zwischenhändler gesendet (0xacB7027f...2b8e) Der _targetAmount in den Eingabedaten lautet: 50.000.000.000.000.000.000.000.000 (50M × 10^18) Der requestSwap → completeSwap ist ein 2-stufiger asynchroner Prozess. Entweder wurde das Oracle ausgetrickst, der Off-Chain-Signer wurde kompromittiert, oder die Mengenvalidierung zwischen Anfrage und Abschluss fehlt einfach. Das Exit-Playbook des Angreifers ist ein Lehrbuch-DeFi-Hack-Cashout, der mit voller Geschwindigkeit läuft: Schritt 1 — Wrap USR → wstUSR, um auf tiefere DEX-Liquidität zuzugreifen 20M USR → 17,65M wstUSR 15M USR → 13,24M wstUSR Schritt 2 — Dump wstUSR über alle verfügbaren Plattformen 8,77M wstUSR → 9,7M USDT (KyberSwap) 2M wstUSR → 2,01M USDC (direkter Vertrag 0x04a2...caed) 1,31M wstUSR → 655K USDT (KyberSwap) 1,31M wstUSR → 148K USDT (KyberSwap — Slippage wird brutal) 604K wstUSR → 568K USDT 300K wstUSR → 277K USDC (Velora) 300K wstUSR → 303K USDC (Velora) Dutzende von 100K-150K wstUSR Clips durch Velora bei unterschiedlicher Slippage Schritt 3 — Stables → ETH aggressiv umwandeln 4,85M USDT → 2.297 ETH (Vertrag 0xbeef...c555) 1,66M USDT → 789 ETH (Uniswap V4) 2,02M USDC → 948 ETH (MetaMask Swaps) 1,5M USDT → 703 ETH (MetaMask Swaps) 2M USDT → 938 ETH (MetaMask Swaps) 808K USDT → 384 ETH 760K USDT → 362 ETH 656K USDT → 312 ETH 370K USDT → 174 ETH Ja, @MetaMask Swaps für Multi-Millionen-Dollar-Transaktionen 😅 wstUSR wird zwischen 0,50 $ und 0,88 $ über verschiedene Trades verkauft, wobei die Slippage schlimmer wird, je mehr Liquidität abfließt. Mehrere fehlgeschlagene Transaktionen sind On-Chain sichtbar und zeigen die Dringlichkeit. Geschätzte Gesamtextraktion: 25M+ und es wird weitergezählt. Der Angreifer dumpft immer noch aktiv die verbleibenden wstUSR-Positionen zum Zeitpunkt dieses Beitrags. Zur Einordnung: Resolv hatte ~$500M+ TVL, ein @immunefi Bug-Bounty von 500K $, Fireblocks Custody-Integration und mehrere Audits, einschließlich eines Sherlock-Wettbewerbs. Audits ≠ Sicherheit. Überwachungs-Partnerschaften ≠ Prävention. Die Kernfrage: Wie wurde ein 100K USDC requestSwap als 50M USR completeSwap autorisiert? Jemand muss erklären, was zwischen diesen beiden Schritten passiert ist. @PeckShieldAlert @peckshield @SlowMist_Team @hypaboreal, ihr solltet vielleicht einen Blick darauf werfen 👀

D2 in keiner Weise betroffen. Nur am Schreibtisch, um HYPE++ abzubauen, das morgen zurückkommt 🫡

@hell0men @ResolvLabs @yieldsandmore @arkhamintel Kurz gesagt Es scheint, dass die Zugriffskontrolle des Vertrags funktioniert hat. Die menschliche/infra Ebene jedoch nicht.

@cainosullivan @hell0men @ResolvLabs @yieldsandmore @arkhamintel Fazit: Der Sherlock-Wettbewerb und andere Prüfungen haben sich die Wände und Türen angesehen. Der Angreifer kam durch das Fenster, das Off-Chain-Backend, das den Operator-Bot speist.