Resolv Labs Loại Bỏ 57% Token USR Bất hợp pháp

Một hacker đã khai thác khóa riêng của Resolv qua AWS Key Management Service, tạo ra 80 triệu token USR không được đảm bảo chỉ bằng khoảng $100K trong USDC.

Kẻ tấn công đã chuyển đổi USR sang wstUSR, đổi sang stablecoin, và rút ra khoảng $25M trong ETH (11.409 ETH) trước khi ai kịp phản ứng.

USR giảm giá từ $1 xuống còn $0.025 trên Curve Finance trong vòng 17 phút.

Resolv's Response:
→ Đốt khoảng 9 triệu USR trong Ngày 1
→ Nâng cấp hợp đồng wstUSR để đưa vào danh sách đen ví của kẻ tấn công
→ Tổng cộng 46 triệu token (57%) đã bị loại bỏ vĩnh viễn
→ Hiện không còn USR bất hợp pháp nào trên các địa chỉ của kẻ tấn công.

Nhưng thực tế:
→ Kẻ tấn công đã rút ra khoảng $25M trong ETH
→ Giao thức giữ khoảng $95M tài sản so với các khoản nợ cao hơn ( chức năng vỡ nợ )
→ Peg USR KHÔNG được khôi phục
→ 18 cuộc kiểm tra an ninh không phát hiện ra lỗ hổng

Nguyên nhân gốc rễ: Không có giới hạn mint, không có kiểm tra oracle, việc minting do một khóa riêng kiểm soát duy nhất. Không có multisig.

Bài học chính: Kiểm tra hợp đồng thông minh chỉ là chưa đủ. An ninh hạ tầng ngoài chuỗi cũng quan trọng không kém đối với các giao thức DeFi.

Việc đổi thưởng chỉ mở cho các chủ sở hữu USR trước khi xảy ra khai thác qua danh sách cho phép. KHÔNG giao dịch USR trong quá trình phục hồi.