USR, sebuah stablecoin yang dijamin berlebihan dan didukung secara native oleh ETH yang dikelola oleh protokol Resolv, kehilangan peg-nya pada 22 Maret setelah penyerang mencetak jutaan token tanpa jaminan dan dilaporkan menarik setidaknya $25 juta.
Berikut bagaimana insiden tersebut terjadi, menurut perusahaan analitik blockchain Chainalysis.
Penyerang Memanfaatkan Kunci Pencetakan untuk Menciptakan USR Senilai $80M yang Tidak Didukung
Dalam sebuah thread yang diposting di X hari ini, Chainalysis menjelaskan bahwa penyerang mendapatkan akses ke AWS Key Management Service Resolv, tempat kunci penandatanganan berprivilese disimpan. Akses tersebut memungkinkan mereka untuk mengotorisasi operasi pencetakan menggunakan izin protokol itu sendiri.
Ada dua transaksi yang menonjol, yang pertama mencetak 50 juta USR, dan yang kedua menambahkan 30 juta lagi sehingga total menjadi 80 juta token. Namun menurut Chainalysis, operasi pencetakan didukung oleh setoran USDC yang relatif kecil senilai antara $100.000 dan $200.000, yang digunakan oleh pelaku kriminal untuk memicu output swap yang dibesar-besarkan.
Mereka kemudian bergerak cepat, mengonversi USR yang baru dicetak menjadi wrapped staked USR (wstUSR), yang merupakan derivatif yang mewakili bagian dari kolam staking daripada jumlah token tetap. Setelah itu, mereka menukar dana tersebut menjadi stablecoin lain dan kemudian menjadi ETH, menyamarkan jejak mereka dengan berpindah melalui beberapa kolam pertukaran terdesentralisasi dan jembatan.
Resolv Labs mengonfirmasi pelanggaran tersebut, menyatakan bahwa pencetakan tidak sah telah diaktifkan oleh kunci pribadi yang dikompromikan. Tim tersebut menghentikan kontrak segera setelah mendeteksi masalah dan berhasil membakar hampir 9 juta USR yang dimiliki oleh penyerang. Mereka juga melaporkan bahwa sekitar $0,5 juta dalam klaim telah diproses sebelum operasi dihentikan.
Menurut Chainalysis, pelaku mengendalikan sekitar 11.400 ETH, senilai sekitar $25 juta pada saat kejadian pencurian. Mereka juga memegang sekitar 20 juta wstUSR, yang nilainya jauh lebih rendah.
USR Melepaskan Peg
Segera setelah serangan, USR anjlok ke level terendah sepanjang masa baru di sekitar $0,14 menurut data CoinGecko. Namun, sejak itu telah pulih sedikit, tetapi nilai pada waktu pelaporan masih menunjukkan penurunan lebih dari 57% dalam 24 jam terakhir.
Menurut tim Resolv, masih ada setidaknya 71 juta token yang dicetak secara ilegal dalam pasokan beredar USR, yang menurut CoinGecko berada sedikit di atas 176 juta token. Namun, tim telah memulai proses penukaran untuk semua USR yang dicetak sebelum insiden tersebut, dimulai dengan pengguna yang terdaftar dalam daftar izin.
Episode ini sangat merugikan, mengingat survei terbaru oleh Ripple menemukan bahwa 74% eksekutif keuangan melihat stablecoin sebagai alat yang berguna untuk mengelola arus kas dan operasi perbendaharaan. Pada saat yang sama, 89% di antaranya mengatakan mereka memberikan prioritas tinggi terhadap penyimpanan aman saat memilih penyedia layanan, yang menunjukkan pentingnya perlindungan infrastruktur.
Resolv menyatakan bahwa pihaknya bekerja sama dengan mitra, penegak hukum, dan perusahaan analitik untuk melacak dana dan memulihkan aset, serta memperingatkan pengguna agar tidak melakukan perdagangan dengan token yang terdampak selama proses pemulihan.
Pos Bagaimana Pembajakan Pencetakan $25Juta Resolv USR Terjadi pertama kali muncul di CryptoPotato.