🧵1/ ⚠️ تحليل الاستغلال: خسارة 80 مليون دولار في هجوم Resolv Labs في وقت سابق اليوم، تم استغلال @ResolvLabs بسبب فشل في آلية التحقق المركزية للمعلمات. برأس مال ~ 200 ألف دولار فقط، صنع المهاجم 50 مليون و30 مليون دولار أمريكي باستخدام 100 ألف دولار أمريكي لكل منهما، مما أدى إلى خسارة إجمالية تقارب 80 مليون دولار. بعد الحادث، $USR تخفيض قيمة العملة المستقرة مؤقتا إلى 0.051 دولار.

🧵2/ آلية الهجوم تسمح دالة التبادل الكامل في عقد #TheCounter لمختبرات Resolv بتحديد مقدار $USR السك عبر معامل _targetAmount.

🧵3/ تتحقق دالة perfectSwap من أن عنوان المتصل (msg.sender) يجب أن يحمل SERVICE_ROLE. هذا يعني أنه بعد تقديم المستخدم لمعاملة تبادل، يحتاج فريق المشروع إلى إجراء تحقق مركزي من المعاملات مثل _targetAmount، وفقط بعد تأكيد صحتها يمكنه استدعاء هذه الدالة لإكمال المعاملة. استنادا إلى معاملتي الهجوم، كانت قيمة 100 ألف دولار أمريكي تعادل قيمتها _targetAmount 50 مليون و30 مليون دولار أمريكي على التوالي. من الواضح أن آلية التحقق _targetAmount للمشروع فشلت. نظرا لأن التحقق من _targetAmount مركزي وليس مفتوح المصدر، فلا يمكن تحديد السبب الجذري في هذه المرحلة. لا يمكن استبعاد احتمالات مثل تورط من الداخل، أو اختراق النظام المركزي، أو تسرب المفتاح الخاص SERVICE_ROLE.

2/ آلية الهجوم تسمح دالة التبادل الكامل في عقد #TheCounter لمختبرات Resolv بتحديد مقدار $USR السك عبر معامل _targetAmount.