Сегодня стало известно, что хакер взломал платформу Resolv и похитил около 25 миллионов долларов США. При этом была нарушена привязка к доллару стейблкоина USR.
По данным компании-разработчика Resolv Labs, уязвимость позволила злоумышленнику выпустить 50 миллионов необеспеченных токенов USR. На момент написания их стоимость упала до 0,44 доллара США.
Аналитики D2 представили разбор инцидента. По их информации, атакующий внес 100 000 USDC в контракт USR Counter через функцию requestSwap и получил 49,95 миллиона USR — в 500 раз больше из-за ошибки в смарт-контракте.
Эксперты предполагают, что причиной могла стать манипуляция оракулом, компрометация валидатора вне сети или отсутствие механизма проверки суммы между запросом и его исполнением.
После атаки злоумышленник начал стремительно выводить средства, применяя типичную для DeFi стратегию: он обменял USR на wstUSR и распределил активы по различным площадкам для продажи.
Из-за нехватки ликвидности сделки проходили с высоким проскальзыванием, что дополнительно обрушило курс USR. В итоге хакер вывел средства через свопы и кроссчейн-мосты, а общий ущерб оценивается примерно в 25 миллионов долларов США.