🧵1/ ⚠️ Análise de Exploits: Perda de $80 milhões em ataque da Resolv Labs Mais cedo hoje, @ResolvLabs foi explorado devido a uma falha em seu mecanismo centralizado de validação de parâmetros. Com apenas ~$200K em capital, o atacante cunhou 50M e 30M USR usando $100K USDC cada, resultando em uma perda total de cerca de $80M. Após o incidente, a stablecoin $USR brevemente reduzida para $0,051.

🧵2/ Mecanismo de Ataque A função completeSwap no contrato de #TheCounter da Resolv Labs permite que a quantidade de $USR cunhada seja determinada pelo parâmetro _targetAmount.

🧵3/ A função completeSwap verifica se o endereço do chamador (msg.sender) deve conter a SERVICE_ROLE. Isso significa que, após um usuário submeter uma transação de swap, a equipe do projeto precisa realizar uma validação centralizada de parâmetros como _targetAmount, e somente após confirmar a correção será chamada para completar a transação. Com base nas duas transações de ataque, $100K USDC correspondiam a valores de _targetAmount de 50M e 30M USR, respectivamente. É evidente que o mecanismo de validação _targetAmount do projeto falhou. Como a validação _targetAmount é centralizada e não é de código aberto, a causa raiz não pode ser determinada neste estágio. Possibilidades como envolvimento interno, comprometimento do sistema centralizado ou vazamento da chave privada SERVICE_ROLE não podem ser descartadas.

2/ Mecanismo de Ataque A função completeSwap no contrato de #TheCounter da Resolv Labs permite que a quantidade de $USR cunhada seja determinada pelo parâmetro _targetAmount.