Щойно дізнався про досить серйозний взлом стейблкоїну Resolv. Після того, як зловмисник виявив уразливість у контракті карбування, він створив 80 млн фальшивих токенів USR і вивів близько 25 млн доларів у ETH. Ціна впала з долара до 2.5 центів за 17 хвилин, потім трохи відновилась до 27 центів – це падіння на 72% за тиждень.

Цікаво, що команда спочатку назвала це компрометацією ключа, але аналітики виявили справжню проблему – структурні недоліки. SERVICE_ROLE, привілейований акаунт для карбування, контролювався одним ключем без мультипідпису. Контракт не мав перевірок оракула, валідації сум та максимальних лімітів. Атакуючий вніс 100 тисяч USDC і отримав 50 млн USR – в 500 разів більше, ніж мав би. Система нічого не перевіряла.

После цього інциденту експерти кажуть, що такі конфігурації з одним ключем – це класична мішень для внутрішніх та зовнішніх загроз. Це не нове явище, але показує, наскільки важливо звертати увагу на облікові записи з привілеями, які часто залишаються поза радаром команд безпеки. Resolv заявила, що працює з правоохоронцями та компаніями з аналітики блокчейна для відновлення активів. TVL проекту був 684 млн доларів у лютому, але перед взломом впав до 95 млн.