🚨 @ResolvLabs USR az önce istismar edildi: İşte tam on-chain detayı H/T @yieldsandmore bunu ilk işaretledi | veri @ArkhamIntel Bir saldırgan, requestSwap üzerinden Resolv'un USR Counter sözleşmesine 100K USDC yatırdı ve 49.950.000 USR (~39M$) geri aldı Bu, 100 bin dolarlık bir depozitoda 500× fazla kredi demek. Darpma fonksiyonu bozulmuş. Zincir içi makbuzlar: → 100.000 USDC Resolv: USR Sayacı (0xa27a... 5861) → 50.000.000 USR null adresten Sayaca basıldı → 49.950.000 USR saldırgana (0x04A288a7... caEd) → aracıya gönderilen 100.000 USDC (0xacB7027f... 2b8e) Giriş verisindeki _targetAmount şöyledir: 50.000.000.000.000.000.000.000.000.000 (50M × 10^18) requestSwap → completeSwap 2 aşamalı bir asenkron süreçtir. Ya oracle oyun oynanmış, zincir dışı imzacı ele salınmış ya da talep ile tamamlanma arasındaki doğrulama miktarı eksiktir. Saldırganın çıkış planı, tam hızda çalışan ders kitabı DeFi hack nakit çıkışıdır: Adım 1 — Daha derin DEX likiditesine erişmek için USR → wstUSR sarın 20M USR → 17.65M wstUSR 15M USR → 13.24M wstUSR Adım 2 — wstUSR'yi tüm mevcut mekanlara yaymak 8.77M wstUSR → 9.7M USDT (KyberSwap) 2M wstUSR → 2.01M USDC (doğrudan sözleşmeli 0x04a2... caed) 1.31M wstUSR → 655K USDT (KyberSwap) 1.31M wstUSR → 148K USDT (KyberSwap — kayma acımasızlaşıyor) 604K wstUSR → 568K USDT 300K wstUSR → 277K USDC (Velora) 300K wstUSR → 303K USDC (Velora) Velora'dan geçen onlarca 100K-150K wstUSR kızıltı, değişken kayma ile Adım 3 — Stables'ı → ETH'yi agresif şekilde dönüştürün 4,85M USDT → 2.297 ETH (sözleşme 0xbeef... c555) 1.66M USDT → 789 ETH (Uniswap V4) 2,02M USDC → 948 ETH (MetaMask Takasları) 1,5 milyon USDT → 703 ETH (MetaMask Takasları) 2M USDT → 938 ETH (MetaMask Takasları) 808K USDT → 384 ETH 760K USDT → 362 ETH 656K USDT → 312 ETH 370K USDT → 174 ETH Evet, @MetaMask milyonlarca dolarlık bacaklarla 😅 takas ediyor wstUSR, farklı işlemlerde dolar üzerinde 0,50-0,88 dolar arasında satıldı, likidite azaldıkça kayma kötüleşiyor. Zincirde birden fazla başarısız işlem görünür, acil durumu gösteriyor. Tahmini toplam çıkarım: $25M+ ve artıyor. Saldırgan, bu gönderi itibarıyla kalan wstUSR pozisyonlarını aktif olarak boşaltmaya devam ediyor. Bağlam için, Resolv'da ~$500M+ TVL, $500K @immunefi böcek ödülü, Fireblocks gözayet entegrasyonu ve Sherlock yarışması dahil birden fazla denetim vardı. Denetimler ≠ güvenlik. Ortaklıkların ≠ önleme izlenmesi. Temel soru: 100K USDC requestSwap nasıl 50M USR completeSwap olarak yetkilendirildi? Birinin bu iki adım arasında ne olduğunu açıklaması gerekiyor. @PeckShieldAlert @peckshield @SlowMist_Team @hypaboreal Bir bakmak 👀 isteyebilirsiniz

D2 hiçbir şekilde etkilenmedi. Sadece masada HYPE++ rahatlamak için oturmuştur, yarın 🫡 geri dönecek

@hell0men @ResolvLabs @yieldsandmore @arkhamintel Özet; doktor Görünüşe göre sözleşmeli erişim kontrolü işe yaradı. İnsan/infra katmanı ise yapmadı.

@cainosullivan @hell0men @ResolvLabs @yieldsandmore @arkhamintel Sonuç olarak: Sherlock yarışması ve diğer denetimler duvarlara ve kapılara bakıyordu. Saldırgan, operatör botunu besleyen zincir dışı arka uç olan pencereden girdi.