Resolv Labs Rimuove il 57% dei Token USR Mintati Illegalmente
Un hacker ha sfruttato la chiave privata di Resolv tramite il Servizio di Gestione Chiavi AWS, mintando 80M di token USR non garantiti utilizzando solo ~$100K in USDC.
L'attaccante ha convertito USR in wstUSR, scambiato in stablecoin e incassato ~$25M in ETH (11,409 ETH) prima che qualcuno potesse reagire.
USR è crollato da $1 a $0.025 su Curve Finance in 17 minuti.
Risposta di Resolv:
→ Bruciati ~9M USR nel Giorno 1
→ Aggiornato il contratto wstUSR per mettere in blacklist i wallet degli attaccanti
→ Totale 46M token (57%) rimossi permanentemente
→ Non rimangono USR illeciti sugli indirizzi degli attaccanti ora.
Ma la realtà:
→ L'attaccante ha già incassato ~$25M in ETH
→ Il protocollo detiene ~$95M di attivi contro passività più elevate (funzionalmente insolvente)
→ Il peg di USR NON è stato ripristinato
→ 18 audit non sono riusciti a rilevare il difetto
Causa Principale: Nessun limite di mint, nessun controllo oracle, minting controllato da una sola chiave privata. Nessun multisig.
Lezione Chiave: Gli audit dei contratti smart da soli NON sono sufficienti. La sicurezza dell'infrastruttura off-chain è altrettanto critica per i protocolli DeFi.
I riscatto sono aperti solo per i detentori di USR pre-sfruttamento tramite lista di autorizzazione. Non scambiare USR durante il recupero.