A stablecoin USR da Resolv Labs perdeu a paridade com o dólar americano e despencou mais de 70% depois que um invasor explorou seu contrato para criar 80 milhões de tokens sem lastro.
De acordo com uma publicação da plataforma DeFi Resolv Labs no X, o ataque utilizou uma “chave privada comprometida” para criar USR sem lastro no valor de US$ 80 milhões. Uma análise post-mortem da empresa de forense de blockchain Chainalysis relatou que o invasor então converteu rapidamente o USR sem lastro em uma versão com staking, wstUSR, antes de trocá-lo por outras stablecoins e, em seguida, por Ethereum.
No total, os invasores extraíram cerca de US$ 25 milhões em valor, observou a Chainalysis. Após a exploração, o USR perdeu sua paridade com o dólar americano, despencando mais de 74%, de acordo com o CoinGecko, à medida que o invasor se movimentava para sacar os tokens criados ilegalmente.
A Resolv Labs declarou que cerca de US$ 9 milhões em USR foram queimados para “reduzir o impacto potencial”, enquanto a plataforma DeFi está “trabalhando com autoridades e empresas de análise on-chain” para identificar os hackers responsáveis e conter o USR criado ilicitamente.
A empresa suspendeu todas as funções do protocolo após a exploração e afirmou que está se preparando para permitir resgates de “USR pré-incidente”, começando com usuários autorizados.
De acordo com a análise da plataforma de dados RootData, o método do ataque potencialmente envolveu “oráculos manipulados, chaves de assinaturas off-chain vazadas” ou outras vulnerabilidades no mecanismo de criação de tokens. A Chainalysis relatou que o ataque foi possível porque as aprovações de criação de tokens dependiam de um “serviço off-chain que usava uma chave privada privilegiada para assinar a quantidade de USR que poderia ser criada”, com o smart contract falhando em impor qualquer limite máximo para a criação de USR.
O fundo de criptomoedas D2 Finance descreveu o processo de saque como um “caminho clássico de hacking DeFi para resgate”, com os invasores enviando USR em lotes para múltiplos protocolos de liquidez enquanto priorizavam grandes vendas.
Este é o mais recente de uma série de incidentes de segurança DeFi nos últimos meses, incluindo a decisão do protocolo Solana Step Finance de encerrar suas operações semanas depois de sofrer um hack de US$ 29 milhões, e um erro de oráculo que deixou o credor DeFi Moonwell com US$ 1,8 milhão em dívidas incobráveis.
* Traduzido e editado com autorização do Decrypt.
Liquidez sem vender as suas criptos: se você investe pensando no longo prazo, sabe que desmontar posição tem custo. Com o CriptoCrédito do MB, suas criptos viram garantia para um empréstimo liberado de forma rápida. Dinheiro em até 5 minutos, sem burocracia, direto no app! Conheça agora!
