🚨 @ResolvLabs USR har nettopp blitt utnyttet: her er hele oversikten på kjeden. Takk @yieldsandmore hvem som markerte dette først | data via @ArkhamIntel En angriper satte inn 100 000 USD i Resolvs USR Counter-kontrakt via requestSwap og mottok 49 950 000 USR tilbake (~39 millioner dollar) Det er 500 × overkreditt på et depositum på 100 000 dollar. Myntefunksjonen er ødelagt. On-chain-inntekter: → 100 000 USD sendt til Resolv: USR Counter (0xa27a... 5861) → 50 000 000 USR preget fra null-adresse til Counter → 49 950 000 USR sendt videre til angriperen (0x04A288a7... caEd) → 100 000 USD sendt til mellommann (0xacB7027f... 2b8e) _targetAmount i inngangsdataene lyder: 50 000 000 000 000 000 000 000 000 (50M × 10^18) RequestSwap → completeSwap er en totrinns asynkron prosess. Enten ble oraklet lurt, underskriveren utenfor lenken ble kompromittert, eller så mangler valideringsmengden mellom forespørsel og fullføring. Angriperens exit-playbook er klassisk DeFi hack cashout som kjører i full fart: Trinn 1 — Pakk USR → wstUSR for å få tilgang til dypere DEX-likviditet 20M USR → 17,65M wstUSR 15M USR → 13,24M wstUSR Trinn 2 — Dump wstUSR på alle tilgjengelige steder 8,77 millioner wstUSR → 9,7 millioner USDT (KyberSwap) 2 millioner wstUSR → 2,01 millioner USDC (direkte kontrakt 0x04a2... caed) 1,31 millioner wstUSR → 655 000 USDT (KyberSwap) 1,31 millioner wstUSR → 148 000 USDT (KyberSwap — slippage blir brutal) 604K wstUSR → 568K USDT 300 000 wstUSR → 277 000 USDC (Velora) 300K wstUSR → 303K USDC (Velora) Dusiner av 100K-150K wstUSR klipper gjennom Velora med varierende slipp Steg 3 — Konverter stabile → ETH aggressivt 4,85 millioner USDT → 2 297 ETH (kontrakt 0xbeef... c555) 1,66 millioner USDT → 789 ETH (Uniswap V4) 2,02 millioner USDC → 948 ETH (MetaMask-bytter) 1,5 millioner USDT → 703 ETH (MetaMask-bytter) 2 millioner USDT → 938 ETH (MetaMask-bytter) 808K USDT → 384 ETH 760 000 USDT → 362 ETH 656 000 USDT → 312 ETH 370 000 USDT → 174 ETH Ja, @MetaMask bytter mot multimilliondollar-benene 😅 wstUSR selges til $0,50–$0,88 på dollar i ulike handler, med slippage som forverres etter hvert som likviditeten tappes. Flere mislykkede transaksjoner synlige på kjeden som viser hastverket. Estimert total utvinning: $25M+ og teller. Angriperen kvitter seg fortsatt aktivt med gjenværende WSTUSR-posisjoner per dette innlegget. For kontekst hadde Resolv ~500 millioner dollar+ TVL, en @immunefi bug-dusør på 500 000 dollar, Fireblocks oppbevaringsintegrasjon og flere revisjoner, inkludert en Sherlock-konkurranse. Revisjoner ≠ sikkerhet. Overvåking av partnerskap ≠ forebygging. Kjernespørsmålet: hvordan ble en requestSwap på 100 000 USD autorisert som en 50 millioner USR completeSwap? Noen må forklare hva som skjedde mellom de to stegene. @PeckShieldAlert @peckshield @SlowMist_Team @hypaboreal du kanskje vil ta en titt 👀

D2 påvirkes ikke på noen måte. Bare ved pulten for å roe ned HYPE++ som kommer tilbake i morgen 🫡

@hell0men @ResolvLabs @yieldsandmore @arkhamintel Tl; dr Det ser ut til at kontraktskontrollen fungerte. Det menneskelige/infrarøde laget gjorde det ikke.

@cainosullivan @hell0men @ResolvLabs @yieldsandmore @arkhamintel Bunnlinjen: Sherlock-konkurransen og andre revisjoner så på vegger og dører. Angriperen kom inn gjennom vinduet, den off-chain backend som mater operatørboten.