أدى فشل أمني في ريزولف لابز إلى تمكين مهاجم من سك أكثر من 80,0 مليون دولار من عملة USR المستقرة غير المدعومة ، مما تسبب في فقدان الرمز المميز ارتباطه بالدولار بشكل عنيف وانهياره إلى 25 سنت.
أشار محللو أمن البلوكشين في سايفرز إلى أن هذا الاستغلال حدث بسبب عيب في منطق السك، رغم أن العقود تم تدقيقها ، إلا أن المشكلة سمحت بالسك غير المصرح به دون تحقق مناسب.
تبع الاستغلال فترة من خروج رؤوس أموال ضخمة وغير مفسرة من البروتوكول، حيث أظهرت بيانات بي إن كريبتو أن إجمالي رأس مال USR انخفض من حوالي 400,0 مليون دولار في أوائل فبراير إلى 100,0 مليون دولار فقط قبل أسابيع من الهجوم.
ريزولف توقف البروتوكول بعد انهيار USR إلى 25 سنتا
أثار هذا الانكماش السريع بنسبة 75% في السيولة أسئلة حساسة حول ما إذا كان المطلعون أو المستثمرون الكبار قاموا بفض مراكزهم بهدوء قبل الانهيار.
أظهرت بيانات السلسلة أن المهاجم استخدم مبدئياً 100,0 ألف دولار في يو إس دي كوين لاستغلال الثغرة.
قدرت شركة أمن البلوكشين بيكشيلد إجمالي كمية USR التي تم إنشاؤها بشكل مصطنع بـ80,0 مليون دولار، وقالت الشركة إن الهجوم تم عبر عملية سك أولية بـ50,0 مليون دولار وسك لاحق بـ30,0 مليون دولار.
قام المنفذ فوراً بتفريغ الرموز غير المدعومة في مجمعات سيولة البورصات اللامركزية، ونجح في سحب أكثر من 24,0 مليون دولار في إيثريوم.
أوضحت ريزولف لابز رغم التأثير الكبير في السوق أن مجمع الضمانات الخاص بها "لا يزال سليماً بالكامل" ولم تخسر أي أصول أساسية، وذكرت الشركة أن أولويتها العاجلة هي حماية المستخدمين الشرعيين من تداعيات الحادثة.
كشف هذا التصريح المؤسسي عن فجوة كبيرة مع الواقع الفعلي للسوق ، حيث يعاني المستثمرون الأفراد الذين يحملون USR من خسائر فادحة عقب الانخفاض بنسبة 74%، كما قامت ريزولف بتجميد جميع وظائف البروتوكول إلى أجل غير مسمى.
أشار باحثو الأمن إلى أن الحادث ناتج عن إهمال معماري جسيم وليس عن حرب تشفير معقدة.
قال ديدي لافيد، الرئيس التنفيذي والمؤسس المشارك لشركة سايفرز لـ BeInCrypto أن هذا هو بالضبط المكان الذي يصبح فيه خطر الستايبلكوين حقيقيًا. التدقيقات وحدها ليست كافية، إذا لم تقم بمراقبة إصدار العملة والعرض في الوقت الفعلي، ستكون أعمى عندما يكون الأمر أكثر أهمية. يجب مراقبة كل تفاعل مع البروتوكول باستمرار، ويجب إيقاف أي شذوذ في السك، التسعير، أو السيولة قبل أن تنتشر. هذه هي الطريقة الوحيدة لاحتواء أحداث مثل هذه قبل أن تتفاقم.
أفاد محلل البلوكشين أندرو هونج أن عنوانًا خارجي الملكية (Externally Owned Address (EOA)) بسيط سيطر على "دور الخدمة" الحرج داخل البروتوكول.
بدلًا من الاعتماد على عقد متعدد التوقيعات آمن، سمح البروتوكول لمفتاح خاص واحد بتأمين هذا المحفظة القياسية للعملات الرقمية.
أشار منصة التمويل اللامركزي YieldsAndMore إلى أن هذا الدور الإداري المحدد كان يفتقر إلى أساسيات الحماية الأمنية، بما في ذلك حدود السك القصوى وفحوصات أوراكل الأسعار.
نتيجة لذلك، اقترح محللون أن الحادثة تشير بقوة إلى مفتاح خاص مخترق أو عملية داخلية محتملة.
