🧵1/ ⚠️ エクスプロイト分析:Resolv Labs攻撃で8,000万ドルの損失 本日早朝、@ResolvLabsは中央集権的なパラメータ検証メカニズムの失敗により悪用されました。 わずか約20万ドルの資本で、攻撃者はそれぞれ10万ドルUSDCを使って5000万枚と3千万枚のUSRを発行し、合計約8000万ドルの損失を出しました。 この事件の後、ステーブルコイン$USR一時的に0.051ドルに切り替わりました。

🧵2/ 攻撃メカニズム Resolv Labsの #TheCounter 契約にあるcompleteSwap関数は、_targetAmountパラメータを通じて$USRの量を決定できます。

🧵3/ completeSwap関数は、発信者アドレス(msg.sender)がSERVICE_ROLEを保持しているかどうかを確認します。つまり、ユーザーがスワップ取引を提出した後、プロジェクトチームは_targetAmountなどのパラメータの集中検証を行い、正確性を確認して初めてこの関数を呼び出して取引を完了させる必要があります。 2件の攻撃取引に基づき、10万ドルUSDCはそれぞれ50Mおよび30M USRの価値_targetAmount相当しました。プロジェクトの_targetAmount検証メカニズムが失敗したことは明らかです。 _targetAmount検証は中央集権的でオープンソースではないため、現段階では根本原因を特定することはできません。内部者の関与、中央集権システムの侵害、SERVICE_ROLE秘密鍵の漏洩などの可能性は排除できません。

2/ 攻撃機構 Resolv Labsの #TheCounter 契約にあるcompleteSwap関数は、_targetAmountパラメータを通じて$USRの量を決定できます。