🧵1/ ⚠️ Exploit-analys: 80 miljoner dollar förlust i Resolv Labs attack Tidigare idag utnyttjades @ResolvLabs på grund av ett fel i dess centraliserade parametervalideringsmekanism. Med endast ~200 000 dollar i kapital präglade angriparen 50 miljoner och 30 miljoner USR med 100 000 USD vardera, vilket ledde till en total förlust på cirka 80 miljoner dollar. Efter händelsen $USR stablecoinen kortvarigt nedsänkt till 0,051 dollar.

🧵2/ Attackmekanism CompleteSwap-funktionen i Resolv Labs #TheCounter-kontrakt gör det möjligt att bestämma mängden $USR minted via parametern _targetAmount.

🧵3/ Funktionen completeSwap kontrollerar att anroparens adress (msg.sender) måste innehålla SERVICE_ROLE. Detta innebär att efter att en användare har skickat in en swap-transaktion behöver projektteamet utföra en centraliserad validering av parametrar som _targetAmount, och först efter att korrektheten bekräftats kommer de att anropa denna funktion för att slutföra transaktionen. Baserat på de två attacktransaktionerna motsvarade 100 000 USD _targetAmount värden 50 miljoner respektive 30 miljoner USR. Det är uppenbart att projektets _targetAmount valideringsmekanism misslyckades. Eftersom _targetAmount validering är centraliserad och inte öppen källkod kan grundorsaken inte fastställas i detta skede. Möjligheter som insiderinblandning, kompromettering av det centraliserade systemet eller läckage av den SERVICE_ROLE privata nyckeln kan inte uteslutas.

2/ Attackmekanism CompleteSwap-funktionen i Resolv Labs #TheCounter-kontrakt gör det möjligt att bestämma mängden $USR minted via parametern _targetAmount.