🚨 @ResolvLabs USR właśnie został wykorzystany: oto pełne zestawienie on-chain h/t @yieldsandmore, który jako pierwszy to zgłosił | dane od @ArkhamIntel Napastnik wpłacił 100K USDC do kontraktu USR Counter Resolv za pomocą requestSwap i otrzymał z powrotem 49,950,000 USR (~39M $) To 500× nadkredyt na depozycie 100K $. Funkcja mintowania jest zepsuta. Dowody on-chain: → 100,000 USDC wysłane do Resolv: USR Counter (0xa27a...5861) → 50,000,000 USR wybite z adresu null do Counter → 49,950,000 USR przekazane do napastnika (0x04A288a7...caEd) → 100,000 USDC wysłane do pośrednika (0xacB7027f...2b8e) Wartość _targetAmount w danych wejściowych wynosi: 50,000,000,000,000,000,000,000,000 (50M × 10^18) Proces requestSwap → completeSwap to dwuetapowy proces asynchroniczny. Albo oracle został oszukany, albo off-chain signer został skompromitowany, albo walidacja kwoty między request a completion po prostu brakuje. Podręcznikowy plan wyjścia napastnika to podręcznikowy hack DeFi cashout działający na pełnych obrotach: Krok 1 — Owiń USR → wstUSR, aby uzyskać dostęp do głębszej płynności DEX 20M USR → 17.65M wstUSR 15M USR → 13.24M wstUSR Krok 2 — Zrzucaj wstUSR na każdej dostępnej giełdzie 8.77M wstUSR → 9.7M USDT (KyberSwap) 2M wstUSR → 2.01M USDC (bezpośredni kontrakt 0x04a2...caed) 1.31M wstUSR → 655K USDT (KyberSwap) 1.31M wstUSR → 148K USDT (KyberSwap — slippage staje się brutalny) 604K wstUSR → 568K USDT 300K wstUSR → 277K USDC (Velora) 300K wstUSR → 303K USDC (Velora) Dziesiątki zrzutów 100K-150K wstUSR przez Velora przy różnym slippage Krok 3 — Konwertuj stablecoiny → ETH agresywnie 4.85M USDT → 2,297 ETH (kontrakt 0xbeef...c555) 1.66M USDT → 789 ETH (Uniswap V4) 2.02M USDC → 948 ETH (MetaMask Swaps) 1.5M USDT → 703 ETH (MetaMask Swaps) 2M USDT → 938 ETH (MetaMask Swaps) 808K USDT → 384 ETH 760K USDT → 362 ETH 656K USDT → 312 ETH 370K USDT → 174 ETH Tak, @MetaMask Swaps dla wielomilionowych transakcji 😅 wstUSR sprzedawany po $0.50-$0.88 na dolarze w różnych transakcjach, z coraz gorszym slippage w miarę jak płynność się wyczerpuje. Wiele nieudanych transakcji widocznych on-chain pokazujących pilność. Szacowana całkowita ekstrakcja: 25M $+ i wciąż rośnie. Napastnik nadal aktywnie zrzuca pozostałe pozycje wstUSR w momencie publikacji. Dla kontekstu Resolv miał ~500M+ TVL, nagrodę za błąd @immunefi w wysokości 500K $, integrację z Fireblocks oraz wiele audytów, w tym konkurs Sherlock. Audyty ≠ bezpieczeństwo. Partnerstwa monitorujące ≠ zapobieganie. Kluczowe pytanie: jak 100K USDC requestSwap został autoryzowany jako 50M USR completeSwap? Ktoś musi wyjaśnić, co się stało między tymi dwoma krokami. @PeckShieldAlert @peckshield @SlowMist_Team @hypaboreal, warto się temu przyjrzeć 👀

D2 nie jest w żaden sposób dotknięty. Po prostu przy biurku, aby odprężyć HYPE++ , który wraca jutro 🫡

@hell0men @ResolvLabs @yieldsandmore @arkhamintel Krótko mówiąc Wygląda na to, że kontrola dostępu do kontraktu zadziałała. Warstwa ludzka/infrastrukturalna nie.

@cainosullivan @hell0men @ResolvLabs @yieldsandmore @arkhamintel Ostatecznie: konkurs Sherlock i inne audyty przyglądały się ścianom i drzwiom. Napastnik wszedł przez okno, off-chain backend, który zasila bota operatora.