🚨 @ResolvLabs USR:ää juuri hyväksikäytettiin: tässä on koko ketjun sisäinen erittely h/t @yieldsandmore, joka merkitsi tämän ensimmäisenä | Tiedot @ArkhamIntel Hyökkääjä talletti 100 000 USDC:tä Resolvin USR Counter -sopimukseen requestSwapin kautta ja sai takaisin 49 950 000 USR:ää (~39 miljoonaa dollaria) Se on 500 × yliluotto 100 000 dollarin käsirahalla. Lyöntitoiminto on rikki. Ketjun sisäiset kuitit: → 100 000 USDC lähetetty Resolv: USR Counter (0xa27a... 5861) → 50 000 000 USR lyöty null-osoitteesta laskuriin → 49 950 000 USR välitetty hyökkääjälle (0x04A288a7... caEd) → 100 000 USDC:tä välikäteen (0xacB7027f... 2b8e) Syötedatan _targetAmount kuuluu: 50 000 000 000 000 000 000 000 000 000 (50M × 10^18) requestSwap → completeSwap on kaksivaiheinen asynkronisoitu prosessi. Joko oraakkeli on pelattu, off-chain-allekirjoittaja on vaarantunut, tai pyynnön ja suorituksen välillä oleva vahvistuksen määrä puuttuu. Hyökkääjän poistumiskäsikirja on oppikirjaesimerkki DeFi-hakkeroinnin cashoutista, joka pyörii täysillä vauhdilla: Vaihe 1 — Kääri USR → wstUSR saadaksesi syvempää DEX-likviditeettiä 20M USR → 17,65M wstUSR 15M USR → 13,24M wstUSR Vaihe 2 — Levitä wstUSR kaikkiin saatavilla oleviin paikkoihin 8,77M wstUSR → 9,7M USDT (KyberSwap) 2M wstUSR → 2,01M USDC (suora sopimus 0x04a2... caed) 1,31M wstUSR → 655K USDT (KyberSwap) 1,31M wstUSR → 148K USDT (KyberSwap — liukuminen muuttuu brutaaliksi) 604K wstUSR → 568K USDT 300K wstUSR → 277K USDC (Velora) 300K wstUSR → 303K USDC (Velora) Kymmeniä 100K-150K wstUSR-autoja kulkee Veloran läpi vaihtelevalla liukumalla Vaihe 3 — Muunna stabiilia → ETH aggressiivisesti 4,85M USDT → 2 297 ETH (sopimus 0xbeef... c555) 1,66M USDT → 789 ETH (Uniswap V4) 2,02M USDC → 948 ETH (MetaMask-swapit) 1,5 miljoonaa USDT → 703 ETH (MetaMask-swapit) 2M USDT → 938 ETH (MetaMask-vaihdot) 808K USDT → 384 ETH 760K USDT → 362 ETH 656K USDT → 312 ETH 370K USDT → 174 ETH Kyllä @MetaMask Swapit monen miljoonan dollarin 😅 jalkoihin wstUSR myydään 0,50–0,88 dollarilla eri kaupoissa, ja lasku pahenee likviditeetin hupenettaessa. Useita epäonnistuneita transaktioita näkyy ketjussa, mikä osoittaa kiireellisyyttä. Arvioitu kokonaistuotanto: $25M+ ja kasvaa. Hyökkääjä hylkää edelleen aktiivisesti jäljellä olevia wstUSR-asemia tämän postauksen ajan. Taustatietona: Resolvilla oli ~$500M+ TVL, @immunefi bugipalkkio $500K, Fireblocksin säilytysintegraatio ja useita auditointeja, mukaan lukien Sherlock-kilpailu. Tarkastukset ≠ turvallisuutta. Kumppanuuksien seuranta ≠ ennaltaehkäisy. Ydinkysymys: miten 100K USDC requestSwap hyväksyttiin 50M USR completeSwapiksi? Jonkun täytyy selittää, mitä näiden kahden vaiheen välillä tapahtui. @PeckShieldAlert @peckshield @SlowMist_Team @hypaboreal saatat haluta tutustua 👀 siihen

D2 ei vaikuta millään tavalla. Vain pöydän ääressä rentoutumassa HYPE++:sta, joka palaa huomenna 🫡

@hell0men @ResolvLabs @yieldsandmore @arkhamintel Tiivistelmä; dr Näyttää siltä, että sopimuskäyttöoikeuksien valvonta toimi. Ihmisen/infra-kerroksen osalta ei ollut.

@cainosullivan @hell0men @ResolvLabs @yieldsandmore @arkhamintel Yhteenveto: Sherlock-kilpailu ja muut auditoinnit tarkastelivat seiniä ja ovia. Hyökkääjä tuli sisään ikkunasta, ketjun ulkopuolisesta taustajärjestelmästä, joka syöttää operaattoribotille.