🧵1/ ⚠️ Exploit-analyysi: 80 miljoonan dollarin tappio Resolv Labs -hyökkäyksessä Aiemmin tänään @ResolvLabs hyväksikäytettiin sen keskitetyn parametrien validointimekanismin vian vuoksi. Vain ~$200K pääomalla hyökkääjä lyö 50M ja 30M USR käyttäen kumpikin $100K USDC:tä, mikä johti noin $80M tappioon. Tapauksen jälkeen stablecoin $USR lyhyesti alennettu arvoon $0.051.

🧵2/ Hyökkäysmekanismi Resolv Labsin #TheCounter-sopimuksen completeSwap-funktio mahdollistaa $USR määrän määrittämisen _targetAmount-parametrin avulla.

🧵3/ completeSwap-funktio tarkistaa, että soittajan osoite (msg.sender) pitää SERVICE_ROLE. Tämä tarkoittaa, että kun käyttäjä on lähettänyt swap-transaktion, projektitiimin täytyy suorittaa keskitetty parametrien, kuten _targetAmount, validointi, ja vasta oikeellisuuden varmistamisen jälkeen he kutsuvat tämän toiminnon transaktion suorittamiseksi. Kahden hyökkäystapahtuman perusteella $100K USDC vastasi _targetAmount arvoa, 50M ja 30M USR. On ilmeistä, että projektin _targetAmount validointimekanismi epäonnistui. Koska _targetAmount validointi on keskitetty eikä avoimen lähdekoodin, juurisyytä ei voida tässä vaiheessa määrittää. Mahdollisuuksia kuten sisäpiiriläisen osallistuminen, keskitetyn järjestelmän vaarantuminen tai SERVICE_ROLE yksityisen avaimen vuotaminen eivät ole poissuljettuja.

2/ Hyökkäysmekanismi Resolv Labsin #TheCounter-sopimuksen completeSwap-funktio mahdollistaa $USR määrän määrittämisen _targetAmount-parametrin avulla.