Стейблкоин, привязанный к криптопроекту Resolv Labs, потерял привязку к доллару США после того, как злоумышленнику удалось использовать уязвимость в контракте токена для создания миллионов токенов в свою пользу.
Resolv Labs опубликовала в X в воскресенье информацию о произошедшей эксплуатации, которая позволила злоумышленнику выпустить 50 миллионов необеспеченных токенов Resolv USR (USR). “Команда в настоящее время приостановила все функции протокола для предотвращения дальнейших злонамеренных действий и активно работает над восстановлением”, – добавили они.
Аккаунт X “yieldsandmore” ранее в воскресенье опубликовал сообщение о том, что USR рухнул после того, как данные on-chain показали, что злоумышленник смог выпустить 50 миллионов USR, внеся депозиты на сумму 100 000 долларов США в стейблкоине USDC (USDC).
Злоумышленник также смог выпустить дополнительные 30 миллионов токенов USR, согласно информации от компании по кибербезопасности PeckShield.
Криптофонд D2 Finance сообщил, что функция выпуска токенов в контракте USR по каким-то причинам вышла из строя. “Либо оракул был скомпрометирован, личный ключ подписи вне сети был взломан, либо отсутствует проверка суммы между запросом и завершением,” – добавили они.
Источник: D2 Finance
Эта эксплуатация произошла после резкого снижения количества хакерских атак, связанных с криптовалютами, в феврале: за месяц было потеряно 49 миллионов долларов из-за эксплойтов, по сравнению с 385 миллионами долларов в январе. Злоумышленники все чаще предпочитают фишинговые атаки эксплуатации уязвимостей в протоколах.
Злоумышленник "на полной скорости" выводит средства, что приводит к депеггингу USR
D2 Finance сообщил, что злоумышленник быстро переместил выпущенные 50 миллионов USR на различные криптопротоколы, обменивая токены на стейблкоины USDC и USDT (USDT), а затем “агрессивно” конвертируя их в Ether (ETH).
“Схема вывода средств злоумышленником – это классический вывод средств при взломе DeFi, осуществляемый на полной скорости”, – говорится в сообщении.
D2 Finance добавил, что USR продавался по цене до 50 центов на некоторых сделках, поскольку ликвидность и проскальзывание ухудшались на различных протоколах, при этом “на on-chain видно множество неудачных транзакций, демонстрирующих срочность”.
Компания оценила, что злоумышленник смог извлечь около 25 миллионов долларов из-за атаки на фоне депеггинга USR.
В настоящее время USR торгуется по цене около 87 центов, что на 13% ниже отметки в 1 доллар США, которую токен стремится поддерживать, согласно CoinGecko.
Токен упал до минимума в 2,5 цента в пуле USR/USDC на протоколе Curve Finance, самом ликвидном пуле USR с 24-часовым объемом торгов в размере 3,6 миллиона долларов США, согласно DEX Screener.
Цена USR по отношению к USDC на Curve, демонстрирующая его молниеносный обвал и депеггинг в воскресенье. Источник: DEX Screener
Минимальное значение USR на Curve было достигнуто в 2:38 утра UTC в воскресенье, всего через 17 минут после того, как злоумышленник выпустил токены на сумму 50 миллионов долларов США. С тех пор пул восстановился и торгуется по цене 84,5 цента.
