🚨 @ResolvLabs USR è stato appena sfruttato: ecco il resoconto completo on-chain h/t @yieldsandmore che ha segnalato per primo | dati via @ArkhamIntel Un attaccante ha depositato 100K USDC nel contratto USR Counter di Resolv tramite requestSwap e ha ricevuto 49.950.000 USR indietro (~$39M) Questo è un overcredit di 500× su un deposito di $100K. La funzione di minting è rotta. Ricevute on-chain: → 100.000 USDC inviati a Resolv: USR Counter (0xa27a...5861) → 50.000.000 USR mintati da un indirizzo nullo a Counter → 49.950.000 USR inoltrati all'attaccante (0x04A288a7...caEd) → 100.000 USDC inviati a un intermediario (0xacB7027f...2b8e) Il _targetAmount nei dati di input legge: 50.000.000.000.000.000.000.000.000 (50M × 10^18) Il requestSwap → completeSwap è un processo asincrono in 2 fasi. O l'oracolo è stato manipolato, il firmatario off-chain è stato compromesso, oppure la validazione dell'importo tra richiesta e completamento è semplicemente assente. Il playbook di uscita dell'attaccante è un hack cashout DeFi da manuale che corre a tutta velocità: Passo 1 — Avvolgere USR → wstUSR per accedere a una liquidità DEX più profonda 20M USR → 17.65M wstUSR 15M USR → 13.24M wstUSR Passo 2 — Scaricare wstUSR in ogni venue disponibile 8.77M wstUSR → 9.7M USDT (KyberSwap) 2M wstUSR → 2.01M USDC (contratto diretto 0x04a2...caed) 1.31M wstUSR → 655K USDT (KyberSwap) 1.31M wstUSR → 148K USDT (KyberSwap — slippage che diventa brutale) 604K wstUSR → 568K USDT 300K wstUSR → 277K USDC (Velora) 300K wstUSR → 303K USDC (Velora) Decine di clip da 100K-150K wstUSR attraverso Velora con slippage variabile Passo 3 — Convertire stabili → ETH in modo aggressivo 4.85M USDT → 2.297 ETH (contratto 0xbeef...c555) 1.66M USDT → 789 ETH (Uniswap V4) 2.02M USDC → 948 ETH (MetaMask Swaps) 1.5M USDT → 703 ETH (MetaMask Swaps) 2M USDT → 938 ETH (MetaMask Swaps) 808K USDT → 384 ETH 760K USDT → 362 ETH 656K USDT → 312 ETH 370K USDT → 174 ETH Sì, @MetaMask Swaps per gambe da milioni di dollari 😅 wstUSR venduto a $0.50-$0.88 sul dollaro attraverso diverse transazioni, con slippage che peggiora man mano che la liquidità si esaurisce. Molte transazioni fallite visibili on-chain mostrano l'urgenza. Estrazione totale stimata: $25M+ e in aumento. L'attaccante sta ancora attivamente scaricando le posizioni rimanenti di wstUSR al momento di questo post. Per contesto, Resolv aveva ~$500M+ di TVL, un bug bounty di @immunefi di $500K, integrazione della custodia Fireblocks e molteplici audit, inclusa una competizione Sherlock. Audit ≠ sicurezza. Le partnership di monitoraggio ≠ prevenzione. La domanda centrale: come è stata autorizzata una requestSwap di 100K USDC come un completeSwap di 50M USR? Qualcuno deve spiegare cosa è successo tra questi due passaggi. @PeckShieldAlert @peckshield @SlowMist_Team @hypaboreal potreste voler dare un'occhiata 👀

D2 non è in alcun modo influenzato. Solo alla scrivania per rilassare HYPE++ che torna domani 🫡

@hell0men @ResolvLabs @yieldsandmore @arkhamintel In sintesi Sembra che il controllo degli accessi del contratto abbia funzionato. Il livello umano/infrastruttura no.

@cainosullivan @hell0men @ResolvLabs @yieldsandmore @arkhamintel In sintesi: la competizione Sherlock e altri audit stavano esaminando le pareti e le porte. L'attaccante è entrato dalla finestra, il backend off-chain che alimenta il bot operatore.