🚨 @ResolvLabs USR baru saja dieksploitasi: berikut rincian lengkap on-chain H/T @yieldsandmore yang menandai ini terlebih dahulu | data melalui @ArkhamIntel Seorang penyerang menyetor 100 ribu USDC ke dalam kontrak USR Counter Resolv melalui requestSwap dan menerima 49.950.000 USR kembali (~$39 juta) Itu adalah overcredit 500× pada deposit $100K. Fungsi pencetakan rusak. Tanda terima on-chain: → 100.000 USDC dikirim ke Resolve: USR Counter (0xa27a... 5861) → 50.000.000 USR dicetak dari alamat null ke Penghitung → 49.950.000 USR diteruskan ke penyerang (0x04A288a7... caEd) → 100.000 USDC dikirim ke perantara (0xacB7027f... 2b8e) _targetAmount dalam data input berbunyi: 50.000.000.000.000.000.000.000.000.000 (50M × 10^18) requestSwap → completeSwap adalah proses asinkron 2 langkah. Entah oracle dimainkan, penandatangan off-chain disusupi, atau jumlah validasi antara permintaan dan penyelesaian hilang begitu saja. Buku pedoman keluar penyerang adalah buku teks pencairan hack DeFi yang berjalan dengan kecepatan penuh: Langkah 1 — Bungkus USR → wstUSR untuk mengakses likuiditas DEX yang lebih dalam 20M USR → 17.65M wstUSR 15M USR → 13.24M wstUSR Langkah 2 — Buang wstUSR di setiap tempat yang tersedia 8,77 juta wstUSR → 9,7 juta USDT (KyberSwap) 2 juta wstUSR → 2.01 juta USDC (kontrak langsung 0x04a2... caed) 1,31 juta wstUSR → 655 ribu USDT (KyberSwap) 1,31 juta wstUSR → 148 ribu USDT (KyberSwap — slippage semakin brutal) 604K wstUSR → 568K USDT 300K wstUSR → 277K USDC (Velora) 300K wstUSR → 303K USDC (Velora) Lusinan klip wstUSR 100K-150K melalui Velora dengan selip yang bervariasi Langkah 3 — Konversi kandang → ETH secara agresif 4,85 juta USDT → 2.297 ETH (kontrak 0xbeef... c555) 1,66 juta USDT → 789 ETH (Uniswap V4) 2,02 juta USDC → 948 ETH (Pertukaran MetaMask) 1,5 juta USDT → 703 ETH (Pertukaran MetaMask) 2 juta USDT → 938 ETH (Pertukaran MetaMask) 808K USDT → 384 ETH 760K USDT → 362 ETH 656K USDT → 312 ETH 370K USDT → 174 ETH Ya @MetaMask Swap untuk kaki 😅 jutaan dolar wstUSR dijual pada $0,50-$0,88 pada dolar di berbagai perdagangan, dengan slippage memburuk karena likuiditas terkuras. Beberapa transaksi gagal terlihat on-chain yang menunjukkan urgensi. Perkiraan total ekstraksi: $25M+ dan terus bertambah. Penyerang masih aktif membuang posisi wstUSR yang tersisa pada posting ini. Untuk konteks, Resolv memiliki ~$500 juta + TVL, hadiah bug @immunefi sebesar $500 ribu, integrasi kustodian Fireblocks, dan beberapa audit termasuk kompetisi Sherlock. Audit ≠ keamanan. Memantau kemitraan ≠ pencegahan. Pertanyaan inti: bagaimana requestSwap 100 ribu USDC disahkan sebagai completeSwap 50 juta USR? Seseorang perlu menjelaskan apa yang terjadi di antara dua langkah itu. @PeckShieldAlert @peckshield @SlowMist_Team @hypaboreal Anda mungkin ingin melihatnya 👀

D2 tidak terpengaruh dengan cara apa pun. Hanya di meja untuk melepas HYPE++ yang akan kembali besok 🫡

@hell0men @ResolvLabs @yieldsandmore @arkhamintel Tl; dr Tampaknya kontrol akses kontrak berhasil. Lapisan manusia/infra tidak.

@cainosullivan @hell0men @ResolvLabs @yieldsandmore @arkhamintel Intinya: kompetisi Sherlock dan audit lainnya melihat dinding dan pintu. Penyerang masuk melalui jendela, backend off-chain yang memberi makan bot operator.