🧵1/ ⚠️ Analisis Eksploitasi: Kerugian $80 Juta dalam Serangan Resolv Labs Sebelumnya hari ini, @ResolvLabs dieksploitasi karena kegagalan dalam mekanisme validasi parameter terpusatnya. Dengan modal hanya ~$200K, penyerang mencetak 50 juta dan 30 juta USR masing-masing menggunakan $100 ribu USDC, yang menyebabkan kerugian total sekitar $80 juta. Setelah insiden tersebut, stablecoin $USR sempat dihapus menjadi $0,051.

🧵2/ Mekanisme Serangan Fungsi completeSwap dalam kontrak #TheCounter Resolv Labs memungkinkan jumlah $USR yang dicetak ditentukan melalui parameter _targetAmount.

🧵3/ Fungsi completeSwap memeriksa apakah alamat pemanggil (msg.sender) harus menyimpan SERVICE_ROLE. Ini berarti bahwa setelah pengguna mengirimkan transaksi swap, tim proyek perlu melakukan validasi parameter terpusat seperti _targetAmount, dan hanya setelah mengonfirmasi kebenaran mereka akan memanggil fungsi ini untuk menyelesaikan transaksi. Berdasarkan dua transaksi serangan, $100K USDC masing-masing sesuai dengan nilai _targetAmount 50 juta dan 30 juta USR. Terbukti bahwa mekanisme validasi _targetAmount proyek gagal. Karena validasi _targetAmount terpusat dan bukan sumber terbuka, akar penyebabnya tidak dapat ditentukan pada tahap ini. Kemungkinan seperti keterlibatan orang dalam, kompromi sistem terpusat, atau kebocoran kunci pribadi SERVICE_ROLE tidak dapat dikesampingkan.

2/ Mekanisme Serangan Fungsi completeSwap dalam kontrak #TheCounter Resolv Labs memungkinkan jumlah $USR yang dicetak ditentukan melalui parameter _targetAmount.