En säkerhetsbrist på Resolv Labs gjorde att en angripare kunde skapa över 80 miljoner USD i osäkrade USR-stablecoins. Detta fick token att snabbt tappa sin koppling till USD och sjunka till 25 cent.
Blockchain-säkerhetsanalytiker på Cyvers säger att attacken berodde på ett fel i logiken för att skapa nya tokens. Experter hade granskat kontrakten, men ändå kunde angriparen skapa tokens utan rätt kontroll.
Den här attacken kom efter en period där stora mängder kapital lämnade protokollet utan tydlig förklaring. BeInCrypto visar att USR:s totala värde sjönk från cirka 400 miljoner USD i början av februari till bara 100 miljoner USD några veckor före attacken.
Resolv pausar protokollet efter att USR fallit till 0,25 USD
Den snabba minskningen på 75 % av likviditeten leder till viktiga frågor om insiders eller stora investerare började sälja i smyg innan kraschen.
Kedjedata visar att angriparen använde 100 000 USD i USD Coin för att starta attacken.
Blockchain-säkerhetsföretaget PeckShield uppskattar att mängden skapade USR var hela 80 miljoner USD. Enligt företaget gjorde angriparen först 50 miljoner USD och sedan 30 miljoner USD i nya tokens.
Angriparen sålde snabbt de osäkrade tokens i decentraliserade likviditetspooler och lyckades ta ut över 24 miljoner USD i Ethereum.
Trots den stora påverkan på marknaden menar Resolv Labs att deras säkerhet “är helt intakt” och att inga grundläggande tillgångar gått förlorade. Företaget säger att deras främsta prioritet nu är att skydda alla legitima användare.
Det företaget säger skiljer sig mycket från verkligheten, eftersom småsparare med USR nu ser stora förluster efter tappet på 74 %. Resolv har stoppat alla funktioner i protokollet på obestämd tid.
Säkerhetsforskare menar att felet handlar om dålig struktur, inte avancerad kryptografi.
”Det är precis här stabilacoins-risker blir verkliga. Granskningar räcker inte, om du inte övervakar skapande och utbud i realtid är du blind när det gäller som mest. Protokollet måste övervaka alla handlingar hela tiden, och stoppa udda händelser med skapande, pris eller likviditet direkt. Det är enda sättet att hindra sådana händelser från att spridas,” säger Cyvers VD och medgrundare Deddy Lavid till BeInCrypto.
Blockchain-analytiker Andrew Hong rapporterar att en vanlig Externally Owned Address (EOA) hade en viktig “service roll” i protokollet.
Istället för att använda ett säkert multisignatur-kontrakt lät protokollet en enda privat nyckel skydda denna kryptoplånbok.
YieldsAndMore, som är en DeFi-plattform, noterade också att den här administratörsrollen saknade grundläggande säkerhetsregler, såsom högsta möjliga skapandegräns och kontroll mot pris-orakel.
Analytiker menar därför att allt tyder på ett komprometterat privat nyckel eller möjligt insiderbrott.
