🧵1/ ⚠️ İstümar Analizi: Resolv Labs Saldırısında 80 Milyon Dolarlık Kayıp Bugün erken saatlerde @ResolvLabs, merkezi parametre doğrulama mekanizmasındaki bir hata nedeniyle istismar edildi. Sadece ~200K dolarlık sermayeyle, saldırgan her biri 100 bin USDC kullanarak 50 milyon ve 30 milyon ABD Rezervi bastı ve toplamda yaklaşık 80 milyon dolar kayboldu. Olayın ardından stablecoin kısa süreliğine $0.051 olarak $USR değerine düşürüldü.

🧵2/ Saldırı Mekanizması Resolv Labs'ın #TheCounter sözleşmesindeki completeSwap fonksiyonu, basılan $USR miktarının _targetAmount parametresi üzerinden belirlenmesine olanak tanır.

🧵3/ completeSwap fonksiyonu, arayan adresinin (msg.sender) SERVICE_ROLE tutması gerektiğini kontrol eder. Bu, bir kullanıcı takas işlemi gönderdikten sonra, proje ekibinin _targetAmount gibi parametrelerin merkezi bir doğrulamasını yapması gerektiği anlamına gelir ve doğruluğu doğrulandıktan sonra işlemi tamamlamak için bu fonksiyonu çağırırlar. İki saldırı işlemi sonucuna göre, $100K USDC sırasıyla _targetAmount değeri olan 50M ve 30M USR değerlerine karşılık geliyordu. Projenin _targetAmount doğrulama mekanizmasının başarısız olduğu açıktır. _targetAmount doğrulama merkezi ve açık kaynak olmadığından, bu aşamada temel neden belirlenemez. İçeriden katılım, merkezi sistemin tehlikeye girmesi veya SERVICE_ROLE özel anahtarın sızması gibi olasılıklar göz ardı edilemez.

2/ Saldırı Mekanizması Resolv Labs'ın #TheCounter sözleşmesindeki completeSwap fonksiyonu, basılan $USR miktarının _targetAmount parametresi üzerinden belirlenmesine olanak tanır.