Nagkaroon ng matinding security issue sa Resolv Labs na nagpayagan sa attacker na mag-mint ng mahigit $80 million na USR stablecoins kahit wala namang aktwal na backing. Dahil dito, bumagsak ang presyo ng token at nag-crash hanggang 25 cents imbes na $1.
Ayon sa mga blockchain security analyst mula Cyvers, nangyari ito dahil sa butas sa minting logic ng contract. Kahit na-audit na ang contracts, may flaw pa rin kaya nagkaroon ng minting kahit walang proper na validation.
Nangyari ang exploit na ito matapos ang panahong napansin ang matinding capital outflow sa protocol. Base sa data ng BeInCrypto, mula nasa $400 million ang total capitalization ng USR noong early February, biglang bumagsak ito sa $100 million ilang linggo bago ang attack.
Napilitan Mag-pause ang Resolv Protocol Matapos Bumagsak sa $0.25 ang USR
Dahil nabawasan agad ang liquidity ng protocol ng 75%, maraming nagtatanong kung may mga insider o malalaking investor na tahimik na nagli-liquidate ng positions bago pa bumagsak ang token.
Base sa on-chain data, gumamit ang attacker ng paunang $100,000 sa USD Coin para ma-trigger ang vulnerability.
Sinabi ng blockchain security firm na PeckShield na nasa $80 million ang total USR na na-mint ng attacker gamit ang exploit. Ayon sa kanila, nahati ‘yon sa dalawang bahagi — $50 million na unang mint at sumunod na $30 million na mint.
Pagkatapos, agad na ibinagsak ng attacker ang mga fake na USR tokens sa mga liquidity pool ng decentralized exchanges. Sa paraan na ‘yan, nakakuha siya ng mahigit $24 million na Ethereum.
Kahit na matindi ang epekto sa market, sinabi ng Resolv Labs na “buo pa rin” ang collateral pool nila at wala raw nawala sa mga underlying assets. Sabi ng kumpanya, ang focus nila ngayon ay protektahan ang mga tunay na user at i-manage ang epekto ng issue na ‘to.
Pero malayo ito sa nararanasan ng mga retail holders ng USR dahil halos 74% ang binaba ng token kaya sunog na ang portfolios nila. Dahil dito, nag-pause indefinitely ang lahat ng function ng protocol ng Resolv.
Ayon sa mga security researcher, nangyari ito hindi dahil sa sobrang advanced na crypto hacking kundi dahil sa matinding kapabayaan sa system design.
“Dito talaga nagiging totoo ang risk ng stablecoin. Hindi sapat ang audit kung hindi mo mino-monitor nang real-time ang minting at supply — parang bulag ka kung kailan siya pinakaimportante. Kailangan tuloy-tuloy ang monitoring sa lahat ng protocol interactions, at kapag may kakaiba sa minting, price, o liquidity, dapat mapigilan agad bago lumala ang problema. ‘Yan lang talaga ang paraan para hindi kumalat nang todo ang mga issue na ganito,” kuwento ni Cyvers CEO & Co-founder Deddy Lavid sa BeInCrypto.
Nagre-report din si blockchain analyst Andrew Hong na isang simpleng Externally Owned Address (EOA) lang daw ang nag-handle ng sobrang critical na “service role” sa protocol.
Imbes na gumamit ng safe na multisignature contract, pinabayaang isang private key lang ang mag-secure ng standard crypto wallet na iyon.
Dagdag dito, napansin ng DeFi platform na YieldsAndMore na yung admin role na ‘yon, walang basic security guardrails tulad ng maximum mint limit at price-oracle checks.
Dahil dito, sinabi ng mga analyst na malaki ang chance na compromised ang private key o baka may naganap na insider job.
