تقوم Resolv Labs بإزالة 57% من رموز USR التي تم إصدارها بشكل غير قانوني

استغل هاكر مفتاح خاص بـ Resolv عبر خدمة إدارة مفاتيح AWS، وقام بإنشاء 80 مليون رمز USR غير مدعوم باستخدام حوالي $100K في USDC.

حول المهاجم USR إلى wstUSR، ثم تبادلها إلى عملات مستقرة، وسحب حوالي $25M في ETH (11,409 ETH) قبل أن يتمكن أي شخص من الرد.

انخفض سعر USR من $1 إلى 0.025 دولار على Curve Finance خلال 17 دقيقة.

رد فعل Resolv:
→ حرق حوالي 9 ملايين USR في اليوم الأول
→ ترقية عقد wstUSR لوضع قوائم سوداء لمحافظ المهاجمين
→ إجمالي 46 مليون رمز ( تم إزالته بشكل دائم بنسبة 57%
→ لا يوجد حالياً أي USR غير قانوني على عناوين المهاجمين.

لكن الواقع:
→ المهاجم سحب بالفعل حوالي ) في ETH
→ البروتوكول يحتفظ بحوالي $25M من الأصول مقابل التزامات أعلى $95M غير قابلة للتسديد فعليًا(
→ لم يتم استعادة ربط USR
→ 18 تدقيقًا فشلوا في اكتشاف العيب

السبب الجذري: لا حدود للإنشاء، لا فحوصات من خلال أوامر البيانات، الإنشاء يتم بواسطة مفتاح خاص واحد. لا يوجد توقيع متعدد.

الدروس المستفادة الرئيسية: تدقيق العقود الذكية وحده غير كافٍ. أمان البنية التحتية خارج السلسلة ضروري أيضًا لبروتوكولات DeFi.

الاستردادات مفتوحة فقط لحاملي USR قبل الاختراق عبر قائمة السماح. لا تتداول USR أثناء فترة التعافي.