Resolv Labs pausar protokollet efter att en säkerhetslucka på 23 miljoner dollar orsakat att USR-stablecoinen tappat sin koppling till dollarn

Vad orsakade hacket mot Resolv Labs och USR:s avkoppling?

Incidenten drabbade Resolv DeFi-plattformen, som erbjuder avkastningsstrategier kopplade till deltaneutrala positioner på bitcoin och ethereum, med sin USR-stablecoin marknadsförd som en tillgång kopplad till dollarn och backad av likvida säkerheter. Innan intrånget översteg protokollets totala låsta värde 500 miljoner dollar, understött av revisioner, ett bug bounty-program och integreringar för förvaring.

Enligt onchain-data och projektinformation satte angriparen in ungefär 100 000 till 200 000 dollar i USDC i ett kontrakt kopplat till USR-utgivningen innan han utnyttjade en tvåstegsprocess för myntning. Genom att manipulera parametrar inom begäran och slutförandeflödet myntade angriparen cirka 80 miljoner USR – vilket vida översteg den initiala insättningen och skapade en stor pool av icke-säkerställda tokens.

Analytiker pekade på svagheter kopplade till en behörighetsbegränsad tjänsteroll och otillräckliga valideringskontroller mellan präglingens olika steg. Tidiga bedömningar tyder på att problemet kan involvera en komponent utanför kedjan, såsom en komprometterad signatör eller bristfällig validering i backend, snarare än en traditionell bugg i det smarta kontraktet.

Efter att ha präglat tokens konverterade angriparen snabbt USR till wrapped-varianter och sålde dem på flera decentraliserade börser, inklusive Curve och Uniswap. Priserna kollapsade under utförsäljningen, och USR handlades för så lite som några cent i vissa pooler. Angriparen fick ut uppskattningsvis 23 till 25 miljoner dollar, som till stor del konverterades till ethereum, samtidigt som hen fortsatte att flytta medel mellan plånböcker.

Utnyttjandet utlöste en snabb avkoppling, där USR föll från 1 dollar till så lågt som 0,025 dollar i vissa likviditetspooler innan det återhämtade sig delvis senare under dagen. Flera integrerade protokoll agerade snabbt för att begränsa exponeringen, pausade marknader eller inaktiverade säkerheter knutna till Resolv-tillgångar.

Resolv Labs uppgav att man omedelbart pausade alla protokollfunktioner och undersöker återhämtningsalternativ. Teamet betonade att den underliggande säkerhetspoolen förblir intakt och att inga säkerhetstillgångar tömdes, och framställde förlusten som ett resultat av utgivning utan täckning snarare än ett säkerhetsbortfall. Användarna uppmanades att undvika att interagera med berörda tillgångar medan granskningen pågår.

FAQ 🔎

• Vad orsakade att USR-stablecoinen tappade sin koppling?
  En säkerhetsbrist möjliggjorde utgivningen av tiotals miljoner USR-tokens utan säkerhet, vilket översvämmade marknaden.
• Hur stor var förlusten i samband med säkerhetsbristen hos Resolv Labs?
  Angriparen tillskansade sig ett värde uppskattat till mellan 23 och 25 miljoner dollar.
• Tömdes användarnas medel eller säkerheter från protokollet?
  Nej, säkerhetspoolen förblev intakt; förlusterna härrörde från utgivning av token utan täckning.
• Är Resolv-protokollet fortfarande i drift?
  Nej, alla funktioner är pausade medan teamet utreder och arbetar med återställningen.