Карa, эта уязвимость Resolv была очень серьезной. Атакующий смог воспользоваться проблемой с выпуском USR и украл около 25 миллионов долларов в ETH. По сути, он создал 80 миллионов токенов из ничего, и никто не заметил до слишком позднего времени.

Самое худшее, что люди говорили, будто это было связано с компрометацией ключа, но когда аналитики на блокчейне начали расследование, они увидели, что проблема гораздо глубже. Аккаунт, который управляет выпуском, был привязан к одному ключу вместо мультисига, не было проверки оракула, ничего, что бы валидировало значения. Тогда человек внес 100 тысяч USDC и получил 50 миллионов USR — примерно в 500 раз больше, чем должен был получить. Никакой проверки, никаких лимитов на выпуск.

USR рухнул с одного доллара до 2 центов за 17 минут, потом немного восстановился, но не вернулся к привязке. Во вторник он стоил 27 центов, снижение на 72% за неделю. Атакующий сейчас держит 11 409 ETH и немного USR, токенизированного в другом кошельке.

По словам специалистов по безопасности, это выявляет распространенную проблему, которую игнорируют — эти привилегированные ключи, управляющие критическими деталями контракта, становятся легкой мишенью. Это не только внутренний риск, любой, кто обнаружит уязвимость, сможет её использовать. Resolv работает с полицией и аналитическими компаниями по блокчейну, чтобы вернуть активы, но попросила не торговать токеном пока что.