Только что узнал о довольно серьезном взломе стейблкойна Resolv. После того, как злоумышленник обнаружил уязвимость в контракте карбования, он создал 80 млн фальшивых токенов USR и вывел около 25 млн долларов в ETH. Цена упала с доллара до 2,5 центов за 17 минут, затем немного восстановилась до 27 центов – это падение на 72% за неделю.

Интересно, что команда изначально назвала это компрометацией ключа, но аналитики обнаружили настоящую проблему – структурные недостатки. SERVICE_ROLE, привилегированный аккаунт для карбования, контролировался одним ключом без мультиподписей. Контракт не имел проверок оракула, валидации сумм и максимальных лимитов. Атакующий внес 100 тысяч USDC и получил 50 млн USR – в 500 раз больше, чем должен был. Система ничего не проверяла.

После этого инцидента эксперты говорят, что такие конфигурации с одним ключом – это классическая мишень для внутренних и внешних угроз. Это не новое явление, но показывает, насколько важно обращать внимание на учетные записи с привилегиями, которые часто остаются вне радаров команд безопасности. Resolv заявила, что работает с правоохранительными органами и компаниями по аналитике блокчейна для восстановления активов. TVL проекта составлял 684 миллиона долларов в феврале, но перед взломом снизился до 95 миллионов.