Je viens d'apprendre une attaque assez sérieuse contre le stablecoin Resolv. Après que le malfaiteur a découvert une vulnérabilité dans le contrat de frappe, il a créé 80 millions de faux jetons USR et a retiré environ 25 millions de dollars en ETH. Le prix est tombé du dollar à 2,5 cents en 17 minutes, puis s'est légèrement redressé à 27 cents – une chute de 72 % en une semaine.

Il est intéressant de noter que l'équipe a d'abord qualifié cela de compromission de clé, mais les analystes ont identifié le vrai problème – des défauts structurels. Le SERVICE_ROLE, un compte privilégié pour la frappe, était contrôlé par une seule clé sans multisignature. Le contrat ne disposait pas de vérifications d'oracle, de validation des montants ou de limites maximales. L'attaquant a déposé 100 000 USDC et a obtenu 50 millions de USR – 500 fois plus que ce qu'il aurait dû. Le système n'a rien vérifié.

Après cet incident, les experts affirment que ce genre de configuration avec une seule clé est une cible classique pour les menaces internes et externes. Ce n'est pas un phénomène nouveau, mais cela montre à quel point il est crucial de prêter attention aux comptes avec privilèges, qui restent souvent hors du radar des équipes de sécurité. Resolv a déclaré qu'elle collaborait avec les forces de l'ordre et des entreprises d'analyse blockchain pour la récupération des actifs. La TVL du projet était de 684 millions de dollars en février, mais avant le piratage, elle était tombée à 95 millions.