Un grave problema di sicurezza presso Resolv Labs ha permesso a un attaccante di mintare oltre 80 milioni di dollari in stablecoin USR senza copertura. Questo ha causato una violenta perdita del peg con il dollaro del token, con un crollo fino a 25 centesimi.
Secondo gli analisti di sicurezza Blockchain di Cyvers, questo exploit si è verificato a causa di un difetto nella logica di minting. I contratti erano stati sottoposti ad audit, ma la questione ha comunque permesso di mintare token senza autorizzazione e senza le opportune verifiche.
L’exploit segue un periodo di massiccia e inspiegabile fuga di capitali per il protocollo. I dati di BeInCrypto mostrano che la capitalizzazione totale di USR è crollata da circa 400 milioni di dollari ai primi di febbraio a soli 100 milioni di dollari alcune settimane prima dell’attacco.
Resolv sospende il protocollo dopo che USR crolla a 0,25 dollari
Questa rapida contrazione della liquidità del 75% solleva domande cruciali sul fatto che insider o grandi investitori abbiano potuto liquidare in modo silenzioso le proprie posizioni prima del crollo.
Secondo i dati on-chain, l’attaccante ha usato inizialmente 100.000 dollari in USD Coin per sfruttare la vulnerabilità.
Secondo la società di sicurezza Blockchain PeckShield, la stima della quantità totale di USR generata artificialmente è di 80 milioni di dollari. Secondo PeckShield, l’attacco è stato realizzato tramite una prima operazione di mint da 50 milioni di dollari e una successiva da 30 milioni di dollari.
L’exploiter ha subito scaricato i token senza copertura nelle pool di liquidità dei DEX, riuscendo a estrarre oltre 24 milioni di dollari in Ethereum.
Nonostante il grave impatto sul mercato, Resolv Labs ha affermato che il suo pool di collaterale “resta pienamente intatto” e che non ha perso asset sottostanti. L’azienda ha dichiarato che la priorità immediata è quella di proteggere gli utenti legittimi dalle conseguenze.
Questa comunicazione aziendale è in netto contrasto con la realtà del mercato, dato che gli investitori retail in possesso di USR stanno subendo pesanti perdite dopo il crollo del 74%. Resolv ha sospeso a tempo indeterminato tutte le funzioni del protocollo.
Secondo i ricercatori di sicurezza, l’incidente deriva da una grave negligenza architetturale e non da sofisticati attacchi crittografici.
“È proprio in questi casi che il rischio stablecoin diventa reale. Gli audit non bastano: se non monitori minting e fornitura in tempo reale, resti cieco quando è più importante. Ogni interazione con il protocollo deve essere monitorata continuativamente, e anomalie nel minting, nel prezzo o nella liquidità devono essere fermate prima che si propaghino. Solo così è possibile contenere eventi del genere prima che si trasformino in una catena di problemi,” ha spiegato in dettaglio a BeInCrypto il CEO e co-fondatore di Cyvers Deddy Lavid.
L’analista Blockchain Andrew Hong ha segnalato che un semplice Externally Owned Address (EOA) controllava un ruolo di servizio critico all’interno del protocollo.
Invece di fare affidamento su uno smart contract multisig sicuro, il protocollo permetteva che una singola chiave privata proteggesse questo comune wallet crypto.
Ad alimentare i sospetti, la piattaforma DeFi YieldsAndMore ha notato che proprio questo ruolo amministrativo non aveva protezioni di sicurezza fondamentali, come limiti massimi di minting e controlli tramite oracle sul prezzo.
Di conseguenza, gli analisti pensano che l’incidente indichi fortemente una chiave privata compromessa oppure una possibile operazione da insider.
