USR, uma stablecoin supercolateralizada nativamente lastreada por ETH e mantida pelo protocolo Resolv, perdeu seu peg em 22 de março após um atacante cunhar milhões de tokens não lastreados e retirar, segundo relatos, pelo menos US$ 25 milhões.
Assim ocorreu o incidente, segundo a empresa de análise de blockchain Chainalysis.
Atacante explora chave de cunhagem para criar US$ 80 milhões em USR não lastreado
Em um tópico publicado no X hoje cedo, a Chainalysis explicou que o atacante obteve acesso ao Serviço de Gerenciamento de Chaves da AWS da Resolv, onde uma chave de assinatura privilegiada estava armazenada. O acesso permitiu que eles autorizassem operações de cunhagem usando as próprias permissões do protocolo.
Houve duas transações destaque, a primeira cunhando 50 milhões de USR, e a segunda adicionando outros 30 milhões, trazendo o total para 80 milhões de tokens. Mas, segundo a Chainalysis, as operações de cunhagem foram respaldadas por depósitos de USDC relativamente pequenos, no valor entre US$ 100.000 e US$ 200.000, que o criminoso usou para acionar saídas de troca infladas.
Eles então se moveram rapidamente, convertendo o USR recém-cunhado em wrapped staked USR (wstUSR), que é um derivado que representa uma participação de um pool de staking, e não uma quantia fixa de token. Após isso, trocaram os fundos por outras stablecoins e depois por ETH, ocultando seu rastro ao rotacionar por vários pools e pontes de exchange descentralizadas.
A Resolv Labs confirmou a violação, afirmando que a cunhagem não autorizada havia sido ativada por uma chave privada comprometida. A equipe pausou os contratos logo após detectar o problema e conseguiu queimar quase 9 milhões de USR que o atacante tinha em seu poder. Eles também relataram que cerca de US$ 500 mil em resgates haviam sido processados antes da interrupção das operações.
Segundo a Chainalysis, o atacante controla cerca de 11.400 ETH, valendo aproximadamente $25 milhões no momento do roubo. Eles também detêm cerca de 20 milhões de wstUSR, que tinham valores muito mais baixos.
USR Desvincula-se
Imediatamente após o ataque, o USR caiu para um novo mínimo histórico de cerca de US$ 0,14, segundo dados do CoinGecko. No entanto, desde então recuperou-se levemente, mas o valor no momento da publicação ainda representava uma queda de mais de 57% nas últimas 24 horas.
Segundo a equipe da Resolv, ainda existem pelo menos 71 milhões de tokens ilegalmente cunhados na oferta circulante do USR, que a CoinGecko estima em pouco mais de 176 milhões de tokens. No entanto, a equipe iniciou um processo de resgate para todos os USR cunhados antes do incidente, começando pelos usuários autorizados.
O episódio é especialmente danoso, considerando que uma pesquisa recente da Ripple descobriu que 74% dos executivos de finanças veem stablecoins como ferramentas úteis para gerenciar fluxo de caixa e operações de tesouraria. Ao mesmo tempo, 89% deles disseram que dão grande prioridade à custódia segura ao selecionar provedores de serviços, o que aponta para a importância das salvaguardas de infraestrutura.
Resolv afirmou que está trabalhando com parceiros, autoridades policiais e empresas de análise para rastrear fundos e recuperar ativos, e alertou os usuários para não negociar com os tokens afetados durante o processo de recuperação.
A post How the $25M Resolv USR Minting Heist Happened apareceu primeiro em CryptoPotato.