USR, стейблкоин с избыточным обеспечением, напрямую обеспеченный ETH и поддерживаемый протоколом Resolv, потерял привязку 22 марта после того, как злоумышленник выпустил миллионы неподкрепленных токенов и, по сообщениям, извлек не менее 25 миллионов долларов.
Вот как развивался инцидент, согласно аналитической компании блокчейна Chainalysis.
Злоумышленник использовал ключ чеканки для создания $80 млн непокрытых USR
В треде, опубликованном на X сегодня утром, Chainalysis объяснила, что злоумышленник получил доступ к службе управления ключами AWS Resolv, где хранился привилегированный ключ подписи. Этот доступ позволил ему авторизовать операции по чеканке с использованием собственных разрешений протокола.
Было две выдающиеся транзакции: первая создала 50 миллионов USR, а вторая добавила еще 30 миллионов, в результате чего общее количество токенов достигло 80 миллионов. Однако, согласно Chainalysis, операции по созданию токенов были обеспечены относительно небольшими депозитами USDC на сумму от 100 000 до 200 000 долларов, которые преступник использовал для генерации завышенных результатов обмена.
Затем они быстро совершили конвертацию недавно выпущенного USR в обернутый стейкинг-USR (wstUSR) — дериватив, представляющий долю в пуле стейкинга, а не фиксированное количество токенов. После этого они обменяли средства на другие стейблкоины, а затем на ETH, скрывая свою траекторию, переходя через несколько пулов децентрализованных бирж и мостов.
Resolv Labs подтвердила утечку, заявив, что несанкционированная чеканка была возможна благодаря скомпрометированному закрытому ключу. Команда приостановила смарт-контракты вскоре после обнаружения проблемы и смогла сжечь почти 9 миллионов USR, находившихся у злоумышленника. Они также сообщили, что до остановки операций было обработано примерно 0,5 миллиона долларов США в виде выкупов.
Согласно Chainalysis, злоумышленник контролирует около 11 400 ETH, что на момент кражи составляло около 25 миллионов долларов. Он также владеет примерно 20 миллионами wstUSR, которые оценивались намного ниже.
USR отвязывается
Непосредственно после атаки USR упал до нового исторического минимума около $0,14 по данным CoinGecko. Однако с тех пор он немного восстановился, но на момент публикации его стоимость все еще демонстрировала падение более чем на 57% за последние 24 часа.
Согласно команде Resolv, в обращении USR по-прежнему находится как минимум 71 миллион незаконно выпущенных токенов, тогда как CoinGecko оценивает оборот в чуть более 176 миллионов токенов. Однако команда запустила процесс выкупа всех токенов USR, выпущенных до инцидента, начиная с пользователей, внесенных в белый список.
Эпизод особенно вреден, учитывая недавний опрос Ripple показавший, что 74% финансовых руководителей считают стейблкоины полезными инструментами для управления денежными потоками и казначейскими операциями. В то же время 89% из них заявили, что при выборе поставщиков услуг они придают первостепенное значение безопасному хранению, что подчеркивает важность инфраструктурных мер защиты.
Resolv заявила, что сотрудничает с партнерами, правоохранительными органами и аналитическими компаниями для отслеживания средств и возврата активов, и предупредила пользователей не торговать с затронутыми токенами в процессе восстановления.
Пост Как произошла кража с майнтингом Resolv USR на $25 млн появился первым на CryptoPotato.