USR, стейблкоїн з надколатералізацією, який підтримується ETH і управляється протоколом Resolv, втратив прив’язку 22 березня після того, як атакуючий випустив мільйони непідтримуваних токенів і, за повідомленнями, вивів щонайменше 25 мільйонів доларів США.
Ось як розгорнувся інцидент, згідно з аналітичною фірмою блокчейну Chainalysis.
Зловмисник використав ключ мінтингу для створення $80 млн непідтримуваних USR
У треді, опублікованому на X сьогодні вранці, Chainalysis пояснила, що нападник отримав доступ до AWS Key Management Service Resolv, де зберігався привілейований ключ підпису. Цей доступ дозволив йому авторизувати операції з емісії за допомогою власних дозволів протоколу.
Було дві видатні транзакції: перша створила 50 мільйонів USR, а друга додала ще 30 мільйонів, що дало загальну кількість 80 мільйонів токенів. Але, згідно з Chainalysis, операції зі створення токенів підтримувалися досить невеликими депозитами USDC на суму від 100 000 до 200 000 доларів США, якими злочинець спричиняв завищені вихідні дані обміну.
Потім вони швидко перетворили свіжевипущений USR на обгорнуті стейкні USR (wstUSR) — це дериватив, який представляє частку стейкінг-пулу, а не фіксовану кількість токенів. Після цього вони обміняли кошти на інші стейблкоїни, а потім на ETH, приховуючи свій слід, переключаючись між кількома децентралізованими біржовими пулами та мостами.
Resolv Labs підтвердила порушення, заявивши, що несанкціоноване створення монет було можливим завдяки скомпрометованому приватному ключу. Команда призупинила контракти вскоре після виявлення проблеми та змогла спалити майже 9 мільйонів USR, які були у володінні нападника. Вони також повідомили, що до припинення роботи було оброблено приблизно 0,5 мільйона доларів США в видаваннях.
За даними Chainalysis, нападник контролює близько 11 400 ETH, що становить близько $25 мільйонів на момент викрадення. Вони також мають близько 20 мільйонів wstUSR, які мали значно нижчу вартість.
USR від’єднується
Невдовзі після атаки USR впав до нового рекордно низького рівня близько $0,14 за даними CoinGecko. Однак згодом він трохи відновився, але на момент публікації його вартість все ще демонструвала зниження більше ніж на 57% за останні 24 години.
За даними команди Resolv, у обіговій масі USR все ще є щонайменше 71 мільйон незаконно випущених токенів, тоді як CoinGecko оцінює обігову масу на трохи більше ніж 176 мільйонів токенів. Однак команда розпочала процес викупу всіх USR, випущених до інциденту, починаючи з користувачів, доданих до дозволеного списку.
Епізод особливо шкідливий, враховуючи недавнє дослідження Ripple згідно з яким 74% фінансових керівників вважають стейблкоїни корисними інструментами для управління грошовими потоками та казначейськими операціями. Разом із тим, 89% з них заявили, що надають велике значення безпечному зберіганню при виборі постачальників послуг, що підкреслює важливість заходів безпеки інфраструктури.
Resolv заявила, що співпрацює з партнерами, правоохоронними органами та аналітичними компаніями, щоб відстежити кошти та відновити активи, і попередила користувачів не торгувати з ураженими токенами під час процесу відновлення.
Пост Як відбувся хакінг мінтингу Resolv USR на $25 млн з’явився першим на CryptoPotato.