🧵1/ ⚠️ Análisis de exploits: pérdida de 80 millones de dólares en ataque de Resolv Labs Hoy más temprano, @ResolvLabs fue explotado debido a un fallo en su mecanismo centralizado de validación de parámetros. Con solo ~$200K en capital, el atacante acuñó 50M y 30M USR usando $100K USDC cada uno, lo que supuso una pérdida total de alrededor de $80M. Tras el incidente, la stablecoin $USR brevemente despejada en 0,051 dólares.

🧵2/ Mecanismo de ataque La función completeSwap en el contrato de #TheCounter de Resolv Labs permite determinar la cantidad de $USR acuñada mediante el parámetro _targetAmount.

🧵3/ La función completeSwap comprueba que la dirección del llamante (msg.sender) debe contener la SERVICE_ROLE. Esto significa que, después de que un usuario envíe una transacción de swap, el equipo del proyecto debe realizar una validación centralizada de parámetros como _targetAmount, y solo después de confirmar la corrección llamará a esta función para completar la transacción. Según las dos transacciones de ataque, 100.000 dólares USDC correspondían a valores de _targetAmount 50 millones y 30 millones de dólares estadounidenses, respectivamente. Es evidente que el mecanismo de validación _targetAmount del proyecto falló. Dado que la validación _targetAmount es centralizada y no de código abierto, la causa raíz no puede determinarse en esta etapa. No se pueden descartar posibilidades como la implicación de insiders, el compromiso del sistema centralizado o la fuga de la clave privada SERVICE_ROLE.

2/ Mecanismo de ataque La función completeSwap en el contrato de #TheCounter de Resolv Labs permite determinar la cantidad de $USR acuñada mediante el parámetro _targetAmount.