🚨 @ResolvLabs USR acabou de ser explorado: aqui está a análise completa on-chain h/t @yieldsandmore que sinalizou isto primeiro | dados via @ArkhamIntel Um atacante depositou 100K USDC no contrato USR Counter da Resolv via requestSwap e recebeu 49,950,000 USR de volta (~$39M) Isso é um crédito de 500× sobre um depósito de $100K. A função de mintagem está quebrada. Recibos on-chain: → 100,000 USDC enviados para Resolv: USR Counter (0xa27a...5861) → 50,000,000 USR mintados do endereço nulo para o Counter → 49,950,000 USR encaminhados para o atacante (0x04A288a7...caEd) → 100,000 USDC enviados para intermediário (0xacB7027f...2b8e) O _targetAmount nos dados de entrada lê: 50,000,000,000,000,000,000,000,000 (50M × 10^18) O requestSwap → completeSwap é um processo assíncrono de 2 etapas. Ou o oracle foi manipulado, o signatário off-chain foi comprometido, ou a validação do montante entre o pedido e a conclusão simplesmente está ausente. O manual de operações de saída do atacante é um hack de DeFi clássico em execução a toda velocidade: Passo 1 — Envolver USR → wstUSR para acessar liquidez DEX mais profunda 20M USR → 17.65M wstUSR 15M USR → 13.24M wstUSR Passo 2 — Despejar wstUSR em todos os locais disponíveis 8.77M wstUSR → 9.7M USDT (KyberSwap) 2M wstUSR → 2.01M USDC (contrato direto 0x04a2...caed) 1.31M wstUSR → 655K USDT (KyberSwap) 1.31M wstUSR → 148K USDT (KyberSwap — slippage ficando brutal) 604K wstUSR → 568K USDT 300K wstUSR → 277K USDC (Velora) 300K wstUSR → 303K USDC (Velora) Dezenas de clipes de 100K-150K wstUSR através da Velora com slippage variável Passo 3 — Converter estáveis → ETH agressivamente 4.85M USDT → 2,297 ETH (contrato 0xbeef...c555) 1.66M USDT → 789 ETH (Uniswap V4) 2.02M USDC → 948 ETH (MetaMask Swaps) 1.5M USDT → 703 ETH (MetaMask Swaps) 2M USDT → 938 ETH (MetaMask Swaps) 808K USDT → 384 ETH 760K USDT → 362 ETH 656K USDT → 312 ETH 370K USDT → 174 ETH Sim, @MetaMask Swaps para pernas de vários milhões de dólares 😅 wstUSR sendo vendido a $0.50-$0.88 no dólar em diferentes negociações, com slippage piorando à medida que a liquidez se esgota. Múltiplas transações falhadas visíveis on-chain mostrando a urgência. Extração total estimada: $25M+ e contando. O atacante ainda está despejando ativamente as posições restantes de wstUSR até este post. Para contexto, a Resolv tinha ~$500M+ TVL, um bounty de bug de $500K da @immunefi, integração de custódia Fireblocks, e múltiplas auditorias incluindo uma competição Sherlock. Auditorias ≠ segurança. Parcerias de monitoramento ≠ prevenção. A questão central: como um requestSwap de 100K USDC foi autorizado como um completeSwap de 50M USR? Alguém precisa explicar o que aconteceu entre essas duas etapas. @PeckShieldAlert @peckshield @SlowMist_Team @hypaboreal vocês podem querer dar uma olhada 👀

D2 não afetado de forma alguma. Apenas na mesa para descontrair HYPE++ que está a voltar amanhã 🫡

@hell0men @ResolvLabs @yieldsandmore @arkhamintel Resumo Parece que o controle de acesso do contrato funcionou. A camada humana/infravermelha não.

@cainosullivan @hell0men @ResolvLabs @yieldsandmore @arkhamintel Resumindo: a competição Sherlock e outras auditorias estavam a olhar para as paredes e portas. O atacante entrou pela janela, o backend off-chain que alimenta o bot operador.