攻撃者はミントロジックを悪用し、5,000万未担保のUSRを作成し、10万USDCを大規模なトークン出力に増幅させました。
USDC、USDT、ETHへの迅速なスワップにより売りが加速し、USRは0.257ドルまで下落し、一時は0.025ドルまで低下しました。
Resolvはプロトコルを一時停止し、担保は安全であることを確認しましたが、損失は約2500万ドルに近づいており、回復作業が継続しています。
Resolv Labsは日曜日に、攻撃者がコントラクトの脆弱性を突いて5,000万未担保のUSRトークンをミントしたセキュリティインシデントを確認しました。この問題はトークンの発行システムに影響し、担保プールには影響しませんでした。チームによると、調査と回復作業が開始されるまで、プロトコルの機能は直ちに停止されました。
攻撃はUSRのミントロジックを狙ったもので、異常なトークン生成を可能にしました。オンチェーン調査員のAi9684xtpaは、10万USDCが5,000万USRを生成したと報告しています。これはミント出力の500倍の増幅を示しています。
また、セキュリティ企業のPeckShieldは、攻撃者がさらに3,000万USRをミントしたと述べました。しかし、Resolv Labsは、基盤となる担保は安全であると指摘しています。チームは、事件中に担保プール内の資産が失われなかったことを強調しました。
一方、D2 Financeは複数の原因を示唆しています。これにはオラクルの操作、オフチェーン署名の侵害、または検証チェックの欠落などが含まれます。
脆弱性の後、攻撃者は迅速に資金を他のプロトコルに移動させました。D2 Financeによると、彼らはUSRをUSDCやUSDTにスワップし、その後資産をEtherに変換しました。この一連の動きが流動性プール全体の売り圧力を加速させました。
その結果、USRは数分以内にドルペッグを失い、0.257ドルまで下落しました。これは74.2%の下落に相当します。一部のプールでは、スリッページや流動性の逼迫により価格が2.5セントまで低下しました。
特に、USRは最初のミントイベントからわずか17分でこの最低価格に達しました。Curve Financeのプールは最も活発な市場であり、この期間中に激しい取引活動が記録されました。
Resolv Labsは、封じ込めと影響評価が最優先事項であると述べています。チームは正当なユーザーを保護しつつ、システムの脆弱性を見直すことも目指しています。調査が続く間、プロトコルの運用は停止されたままです。
一方、USRは一部価格を回復し、最近は0.86ドル付近で取引されていますが、依然として1ドルのペッグには届いていません。D2 Financeは、攻撃者が事件中に約2500万ドルを抽出したと推定しています。この事件は、2月初旬の暗号資産の脆弱性に関する一連の攻撃の後に発生しましたが、スマートコントラクトの脆弱性に伴うリスクは依然として存在しています。
