Hôm qua đã xảy ra một vụ tấn công lớn vào stablecoin USR của Resolv, và giá đã giảm 70% do ai đó rút khoảng 25 triệu đô la. Token vốn đáng lẽ phải có giá 1 đô la, đã giảm xuống còn 0,27 đô la và chưa hồi phục.

Vấn đề chính là trong hợp đồng thông minh có nhiều lỗ hổng. Tài khoản quản lý đặc quyền được điều khiển bằng một khóa duy nhất không có đa chữ ký, không có kiểm tra oracle và hoàn toàn không có giới hạn phát hành token. Kẻ tấn công đã gửi vào 100k USDC và nhận lại 50 triệu USR - gấp 500 lần số lượng hợp lệ. Sau khi tạo ra 80 triệu token giả, hacker đã đổi chúng lấy USDC và USDT qua các sàn giao dịch phi tập trung, rồi chuyển đổi sang ETH. Hiện tại, hắn đang giữ 11.409 ETH (khoảng 23,7 triệu đô la) và thêm khoảng 1,1 triệu đô la trong USR đã được bọc.

Resolv ban đầu cho rằng đây là do rò rỉ khóa riêng tư, nhưng sau đó phát hiện ra vấn đề còn sâu xa hơn - đó là các lỗi cấu trúc trong thiết kế hợp đồng. Nhóm hiện đang làm việc với cơ quan thực thi pháp luật và các nhà phân tích blockchain để thu hồi tài sản. Hiện tại, họ yêu cầu không giao dịch USR để tránh gây cản trở quá trình phục hồi.

Tổng giá trị thị trường của dự án đạt đỉnh 684 triệu vào tháng 2, nhưng đến thời điểm bị tấn công đã giảm xuống còn 95 triệu. Câu chuyện điển hình về an ninh yếu kém - chỉ một khóa duy nhất kiểm soát tất cả, điều này luôn dẫn đến kết cục xấu.