🚨 @ResolvLabs USR tocmai a fost exploatată: iată analiza completă on-chain h/t @yieldsandmore cine a semnalat asta prima dată | Datele prin @ArkhamIntel Un atacator a depus 100.000 USDC în contractul USR Counter al Resolv prin requestSwap și a primit 49.950.000 USR înapoi (~39 milioane de dolari) Asta înseamnă un credit de 500× pe un avans de 100.000 de dolari. Funcția de bătut este defectă. Chitanțe on-chain: → 100.000 USDC trimiși către Resolv: USR Counter (0xa27a... 5861) → 50.000.000 USR bătuți de la adresă nulă la Counter → 49.950.000 USR transmise atacatorului (0x04A288a7... caEd) → 100.000 USDC trimiși către intermediar (0xacB7027f... 2b8e) _targetAmount din datele de intrare sună: 50.000.000.000.000.000.000.000.000 (50M × 10^18) RequestSwap → completeSwap este un proces asincron în doi pași. Fie oracolul a fost păcălit, semnatarul off-chain a fost compromis, fie cantitatea de validare dintre cerere și finalizare pur și simplu lipsește. Manualul de ieșire al atacatorului este un hack de tip DeFi cashout care rulează la viteză maximă: Pasul 1 — Înfășoară USR → wstUSR pentru a accesa o lichiditate DEX mai profundă 20M USR → 17,65M wstUSR 15M USR → 13,24M wstUSR Pasul 2 — Descarcă wstUSR pe toate locațiile disponibile 8,77M wstUSR → 9,7M USDT (KyberSwap) 2M wstUSR → 2,01M USDC (contract direct 0x04a2... caed) 1,31M wstUSR → 655K USDT (KyberSwap) 1,31M wstUSR → 148K USDT (KyberSwap — slippage-ul devine brutal) 604K wstUSR → 568K USDT 300K wstUSR → 277K USDC (Velora) 300K wstUSR → 303K USDC (Velora) Zeci de clipe wstUSR de 100K-150K prin Velora la alunecare variabilă Pasul 3 — Convertește agresiv stabilurile → ETH 4,85M USDT → 2.297 ETH (contract 0xbeef... c555) 1,66M USDT → 789 ETH (Uniswap V4) 2,02M USDC → 948 ETH (MetaMask Swaps) 1,5M USDT → 703 ETH (MetaMask Swaps) 2M USDT → 938 ETH (MetaMask Swaps) 808K USDT → 384 ETH 760K USDT → 362 ETH 656K USDT → 312 ETH 370K USDT → 174 ETH Da, @MetaMask Swap-uri pentru segmente de milioane de dolari 😅 wstUSR se vinde la 0,50-0,88 dolari pe dolar în diferite tranzacții, cu alunecarea agravându-se pe măsură ce lichiditatea se scurge. Mai multe tranzacții eșuate vizibile pe lanț care arată urgența. Extracție totală estimată: $25M+ și crește. Atacatorul continuă să elimine activ pozițiile wstUSR rămase la momentul acestei postări. Pentru context, Resolve avea ~500 milioane de dolari + TVL, o recompensă @immunefi pentru bug de 500.000 de dolari, integrarea custodiei Fireblocks și mai multe audituri, inclusiv o competiție Sherlock. Audituri ≠ securitate. Monitorizarea parteneriatelor ≠ prevenției. Întrebarea de bază: cum a fost autorizat un requestSwap de 100K USDC ca un USR completat de 50M? Cineva trebuie să explice ce s-a întâmplat între cei doi pași. @PeckShieldAlert @peckshield @SlowMist_Team @hypaboreal poate vrei să arunci o privire 👀

D2 nu este afectat în niciun fel. Sunt doar la birou să mă relaxez cu HYPE++, care revine mâine 🫡

@hell0men @ResolvLabs @yieldsandmore @arkhamintel Pe scurt; dr. Se pare că controlul de acces prin contract a funcționat. Stratul uman/infra nu a făcut-o.

@cainosullivan @hell0men @ResolvLabs @yieldsandmore @arkhamintel Concluzia: concursul Sherlock și alte audituri analizau pereții și ușile. Atacatorul a intrat prin fereastră, backend-ul off-chain care alimentează robotul operator.