🧵1/ ⚠️ Análisis de Exploits: Pérdida de $80M en el Ataque a Resolv Labs Hoy, @ResolvLabs fue explotado debido a una falla en su mecanismo de validación de parámetros centralizado. Con solo ~$200K en capital, el atacante acuñó 50M y 30M USR utilizando $100K USDC cada uno, lo que llevó a una pérdida total de alrededor de $80M. Tras el incidente, la stablecoin $USR se desacopló brevemente a $0.051.

🧵2/ Mecanismo de Ataque La función completeSwap en el contrato #TheCounter de Resolv Labs permite que la cantidad de $USR acuñada se determine a través del parámetro _targetAmount.

🧵3/ La función completeSwap verifica que la dirección del llamador (msg.sender) debe tener el SERVICE_ROLE. Esto significa que después de que un usuario envía una transacción de intercambio, el equipo del proyecto necesita realizar una validación centralizada de parámetros como _targetAmount, y solo después de confirmar la corrección llamarán a esta función para completar la transacción. Basado en las dos transacciones de ataque, $100K USDC correspondieron a valores de _targetAmount de 50M y 30M USR, respectivamente. Es evidente que el mecanismo de validación de _targetAmount del proyecto falló. Dado que la validación de _targetAmount es centralizada y no es de código abierto, la causa raíz no se puede determinar en esta etapa. No se pueden descartar posibilidades como la participación de un insider, la compromisión del sistema centralizado o la filtración de la clave privada del SERVICE_ROLE.

2/ Mecanismo de Ataque La función completeSwap en el contrato #TheCounter de Resolv Labs permite que la cantidad de $USR acuñada se determine a través del parámetro _targetAmount.