USR, ETH ile doğrudan desteklenen ve Resolv protokolü tarafından yönetilen aşırı teminatlı bir stablecoin, bir saldırganın milyonlarca teminatsız token üretmesi ve en az 25 milyon dolar çekmesi nedeniyle 22 Mart'ta bağını kaybetti.
Olayın nasıl gerçekleştiğini, blok zinciri analiz firması Chainalysis açıkladı.
Saldırgan, desteksiz $80M USR oluşturmak için basım anahtarını kullanıyor
Bugün X üzerinde paylaşılan bir konuda Chainalysis açıkladı, saldırganın, yetkili imzalama anahtarının saklandığı Resolv’un AWS Anahtar Yönetimi Hizmetine erişim sağladığını. Bu erişim, saldırganın protokolün kendi izinleri kullanarak maden işlemini onaylamasını sağladı.
İki dikkat çekici işlem vardı; ilki 50 milyon USR'yı mint etti, ikincisi toplamı 80 milyon token'e çıkarmak için ek 30 milyon ekledi. Ancak Chainalysis'e göre, mint işlemleri, katılaştırılmış swap çıktılarını tetiklemek için suçlu tarafından $100.000 ile $200.000 arasında değerinde oldukça küçük USDC yatırmalarıyla desteklendi.
Daha sonra yeni oluşturulan USR'yi, sabit bir token miktarı yerine bir staking havuzunun bir payını temsil eden bir türev olan sarılmış staked USR (wstUSR) olarak dönüştürdüler. Ardından, fonları diğer stablecoin'lere ve ardından ETH'ye değiştirdiler, izlerini birkaç dezentralize borsa havuzu ve köprü üzerinden döndürerek gizlediler.
Resolv Labs, ihlali onayladı, ifade ederek yetkisiz mint işleminin bir kompromit edilmiş özel anahtar tarafından etkinleştirildiğini. Takım, sorunu tespit ettikten kısa bir süre sonra sözleşmeleri durdurdu ve saldırganın elindeki yaklaşık 9 milyon USR’yi yakmayı başardı. Ayrıca operasyonlar durdurulmadan önce yaklaşık 0,5 milyon dolarlık iade işlemlerinin gerçekleştirildiğini bildirdi.
Chainalysis'e göre, saldırgan, hırsızlık olayı sırasında yaklaşık 25 milyon dolar değerinde olan yaklaşık 11.400 ETH'ye sahiptir. Ayrıca, daha düşük seviyelerde değerlenmiş olan yaklaşık 20 milyon wstUSR'e de sahiptir.
USR Depegs
Saldırının hemen ardından USR, CoinGecko verilerine göre her biri yaklaşık 0,14 dolarlık yeni tüm zamanların en düşük seviyesine düştü. Ancak bu durumdan sonra hafifçe iyileşti; basın saati itibarıyla değer, son 24 saatte hâlâ %57'nin üzerinde bir düşüşü temsil ediyordu.
Resolv ekibine göre, USR'un dolaşımdaki arzında hâlâ en az 71 milyon yasadışı üretilmiş token bulunmaktadır; CoinGecko bu miktarı 176 milyon tokenin biraz üzerinde olarak belirtmektedir. Ancak ekip, olaydan önce üretilen tüm USR'lar için, izin listesindeki kullanıcılarla başlamak üzere bir iade süreci başlatmıştır.
Bölüm, Ripple tarafından yapılan son bir anketin bulduğu 74'te 74'ün finans yöneticilerinin stablecoin'leri nakit akışı ve hazne operasyonları yönetimi için kullanışlı araçlar olarak gördüğünü göz önünde bulundurulduğunda özellikle zararlıdır. Aynı zamanda, bunların %89'u, hizmet sağlayıcı seçerken güvenli saklama konusuna büyük öncelik verdiklerini belirtti, bu da altyapı koruma önlemlerinin önemini göstermektedir.
Resolv, fonları izlemek ve varlıkları geri almak için ortaklar, law enforcement ve analiz firmalarıyla çalıştığını açıkladı ve kullanıcıları kurtarma süreci sırasında etkilenen tokenlarla işlem yapmamaya uyardı.
$25M Resolv USR Madeni Para Basma Hırsızlığı Nasıl Gerçekleşti makalesi önce CryptoPotato'da yayınlandı.