Baru saja saya mengetahui tentang peretasan cukup serius pada stablecoin Resolv. Setelah penyerang menemukan kerentanan dalam kontrak pencetakan, dia membuat 80 juta token palsu USR dan menarik sekitar 25 juta dolar dalam ETH. Harga turun dari satu dolar menjadi 2,5 sen dalam 17 menit, kemudian sedikit pulih ke 27 sen – penurunan sebesar 72% dalam seminggu.

Menariknya, tim awalnya menyebut ini sebagai kompromi kunci, tetapi analis menemukan masalah sebenarnya – kekurangan struktural. SERVICE_ROLE, akun berprivilege untuk pencetakan, dikendalikan oleh satu kunci tanpa multi-tanda tangan. Kontrak tidak memiliki pemeriksaan oracle, validasi jumlah, atau batas maksimum. Penyerang menyetor 100 ribu USDC dan mendapatkan 50 juta USR – 500 kali lipat dari yang seharusnya. Sistem tidak melakukan pemeriksaan apa pun.

Setelah insiden ini, para ahli mengatakan bahwa konfigurasi seperti ini dengan satu kunci adalah target klasik untuk ancaman internal dan eksternal. Ini bukan fenomena baru, tetapi menunjukkan betapa pentingnya memperhatikan akun dengan hak istimewa yang sering kali terabaikan oleh tim keamanan. Resolv menyatakan bahwa mereka bekerja sama dengan penegak hukum dan perusahaan analitik blockchain untuk memulihkan aset. TVL proyek ini mencapai 684 juta dolar pada Februari, tetapi sebelum peretasan turun menjadi 95 juta.