トレンドトピック
#
Bonk Eco continues to show strength amid $USELESS rally
Hosico
Hosico-7.59%
USELESS
USELESS-6.69%
IKUN
IKUN+0.86%
gib
gib-2.28%
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
Bonk
Bonk-3.49%
ALON
ALON-2.71%
LAUNCHCOIN
LAUNCHCOIN-0.33%
GOONC
GOONC-2.63%
KLED
KLED-3.68%
#
Boop.Fun leading the way with a new launchpad on Solana.
BOOP
BOOP+0.52%
Boopa
Boopa-4.84%
PORK
PORK0.00%
D2 Finance
D2 Finance
15時間前·
🚨 @ResolvLabs USRが悪用された:これが完全なオンチェーン内訳です 最初にこのフラグを立ててくれた@yieldsandmoreに感謝します |データ経由@ArkhamIntel 攻撃者はrequestSwapを通じてResolveのUSRカウンター契約に10万USDCを入金し、49,950,000 USR(約3,900万ドル)を受け取りました 10万ドルの預金に対して500×の過剰クレジットだ。ミント機能が壊れています。 オンチェーンレシート: → Resolvへ100,000 USDC送金:USRカウンター(0xa27a...5861) → nullアドレスからカウンターへ5,000万USRが発行される →49,950,000 USRが攻撃側(0x04A288a7...caEd) →100,000 USDCを仲介業者(0xacB7027f...2b8e) 入力データの_targetAmountは次の通りです: 50,000,000,000,000,000,000,000,000 (50M × 10^18) requestSwap→completeSwapは2ステップの非同期プロセスです。 オラクルが操作されたか、オフチェーン署名者が侵害されたか、あるいはリクエストと完了の間の金額検証が単純に欠けているかのどちらかです。 攻撃者の退出プレイブックは、典型的なDeFiハックキャッシュアウトの全速力で動作しています: ステップ1 — USRをラッピングしてWSTUSR→より深いDEX流動性にアクセスする 20M USR → 17.65M wstUSR 15M USR → 13.24M wstUSR ステップ2 — 利用可能なすべての会場にwstUSRを配布する 877万 wstUSR → 970万 USDT(KyberSwap) 200万 wstUSR → 201万ドル(直接契約0x04a2...カエド) 131M wstUSR → 655K USDT(KyberSwap) 1.31M wstUSR → 148K USDT(KyberSwap — スリッページが激しくなっている) 604K wstUSR → 568K USDT 300K wstUSR → 277K USDC(ヴェローラ) 300K wstUSR → 303K USDC(ヴェローラ) Veloraで10万〜15万のwstUSRクリップが何十本も、時折変動しています ステップ3 — ステーブルを積極的にETHに変換→ 485万USDT→2,297ETH(契約0xbeef...c555) 166万USDT →789 ETH(Uniswap V4) 202万USDC→948 ETH(MetaMaskスワップ) 150万USDT →703 ETH(MetaMaskスワップ) 200万USDT →938 ETH(MetaMaskスワップ) 808K USDT → 384 ETH 760K USDT → 362 ETH 656K USDT → 312 ETH 370K USDT → 174 ETH はい@MetaMask数百万ドルの脚と交換する 😅 WSRは異なる取引で1ドルあたり0.50〜0.88ドルで売られており、流動性が枯渇するにつれてスリッページが悪化しています。複数の失敗したトランザクションがチェーン上で確認されており、緊急性を示しています。 推定総抽出額:$25M+、継続中。攻撃者はこの投稿時点でも残りのwstUSRポジションを積極的に放棄しています。 参考までに、Resolvevは~$500M+のTVL、50万ドルの@immunefiバグバウンティ、Fireblocksの親権統合、そしてシャーロックコンペティションを含む複数の監査を受けていました。 監査≠セキュリティ。パートナーシップの監視≠予防。 核心的な疑問は、10万USDCのリクエストスワップがどうやって50MのUSRコンプリートスワップとして認可されたのか? その二つのステップの間に何が起こったのか、誰かが説明する必要があります。 @PeckShieldAlert @peckshield @SlowMist_Team @hypaboreal、ぜひご覧👀ください
D2は一切影響を受けていません。明日戻ってく🫡るHYPE++を解き放つためにデスクに座っています
@hell0men @ResolvLabs @yieldsandmore @arkhamintel要点:要約 契約アクセス制御は機能したようです。人間やインフラ層はそうではありませんでした。
@cainosullivan @hell0men @ResolvLabs @yieldsandmore @arkhamintel結論:シャーロックのコンペティションや他の監査は壁や扉に注目していた。攻撃者は窓から侵入してきた。これはオペレーターボットに供給するオフチェーンのバックエンドだ。
9.32K