Kemarin terjadi peretasan besar-besaran pada stablecoin USR dari Resolv, dan harganya turun 70% karena seseorang menarik sekitar 25 juta dolar. Token yang seharusnya bernilai $1 turun ke $0.27 dan tidak pulih kembali.

Intinya adalah, dalam kontrak pintar banyak celah. Akun privilej adalah dikendalikan oleh satu kunci tanpa multi-tanda tangan, tidak ada pemeriksaan oracle dan sama sekali tidak ada batasan penerbitan token. Penyerang menyetor 100k USDC dan mendapatkan 50 juta USR sebagai imbalan - 500 kali lipat dari seharusnya. Setelah menciptakan 80 juta token palsu, hacker menukarnya dengan USDC dan USDT melalui bursa terdesentralisasi, lalu mengonversinya ke ETH. Saat ini memegang 11.409 ETH (sekitar $23,7 juta) dan sekitar $1,1 juta dalam USR yang dibungkus.

Resolv awalnya menyebut ini sebagai kompromi kunci pribadi, tetapi kemudian terungkap bahwa masalahnya jauh lebih dalam - ini adalah kesalahan struktural dalam desain kontrak. Tim saat ini bekerja sama dengan penegak hukum dan analis blockchain untuk mengembalikan aset. Mereka sementara meminta agar tidak memperdagangkan USR, karena hal ini dapat menghambat pemulihan.

TVL proyek mencapai puncaknya 684 juta pada Februari, tetapi saat peretasan turun menjadi 95 juta. Cerita klasik tentang keamanan yang lemah - satu kunci yang mengendalikan semuanya selalu berakhir buruk.