🚨 @ResolvLabs exploatat pentru ~25 milioane de dolari Atacatorul a abuzat de un mecanism de schimbare în doi pași, în care suma mint este trecută ca un parametru neverificat de un backend off-chain cu acces SERVICE_ROLE. • A depus doar 300.000$ USDC pe 3 txn-uri • Jetoane USR de 80M+ bătute • Legătura USR s-a prăbușit din cauza inflației ofertei • Extras ~25 milioane de dolari, un randament de 83x Iată cum s-a întâmplat 🧵👇

Cauza principală? Nu există validare on-chain pentru sumele minime. Utilizatorul sună requestSwap() cu USDC Backend-ul (SERVICE_ROLE) cheamă completeSwap() cu suma USR pentru a fi mint Suma monetară este controlată complet de către apelant, zero verificare on-chain că se potrivește cu depozitul Backend-ul compromis a depășit 50M USR la fiecare depozit de 100K USDC. Este o abatere de 500x și contractul nu a clipit.