La stablecoin Resolv crolla del 70% mentre un attaccante estrae 25 milioni di dollari in ETH

Una stablecoin dovrebbe valere un dollaro. L’USR di Resolv vale 27 centesimi e i calcoli per correggerlo non funzionano.

Un attaccante ha sfruttato una vulnerabilità nel contratto di minting dello stablecoin USR di Resolv intorno alle 2:21 a.m. UTC di domenica, creando circa 80 milioni di token non coperti in due transazioni e estraendo approssimativamente 25 milioni di dollari, secondo quanto riferito da diverse società di sicurezza blockchain e dati onchain.

L'attaccante ha quindi scambiato gli USR coniati in USDC e USDT tramite exchange decentralizzati, convertito i proventi in ETH, e ora detiene 11.409 ETH per un valore di circa 23,7 milioni di dollari, oltre a 1,1 milioni di dollari in USR wrapped in un portafoglio separato.

USR, uno stablecoin ancorato al dollaro che utilizza una strategia di copertura delta-neutral supportata da ETH e BTC, è crollato a $0,025 nel suo pool più liquido su Curve Finance entro 17 minuti dalla prima emissione, secondo DEX Screener.

In seguito si è ripreso intorno a $0,85 ma non ha ristabilito il suo peg. A lunedì mattina veniva scambiato a $0,27, con un calo del 72% nella settimana.

La causa principale è stata peggiore di quanto suggerito dalla dichiarazione iniziale di Resolv. Il team ha descritto l'incidente come una "chiave privata compromessa" e un "compromesso mirato dell'infrastruttura."

Ma analisti onchain ha riscontrato che il vero problema era di natura strutturale. Il SERVICE_ROLE, un account privilegiato che completa le richieste di swap nel contratto di minting, era controllato da un singolo account esterno piuttosto che da un multisig. Il contratto mancava di controlli oracle, di una validazione degli importi e di limiti massimi di minting.

L'attaccante ha depositato 100.000 USDC e ha ricevuto in cambio 50 milioni di USR, circa 500 volte la quantità prevista, poiché nulla nel sistema verificava se tale rapporto avesse senso.

"Per la maggior parte dei contratti intelligenti, questa configurazione non è insolita," ha dichiarato a CoinDesk Ido Sofer, fondatore della società di gestione delle chiavi crittografiche Sodot. "Esiste una chiave che ha autorità su specifiche del contratto - in questo caso, per il minting, spesso trascurata. Questo singolo punto di vulnerabilità rappresenta un bersaglio attraente per minacce interne ed esterne."

"Ciò si collega a una tendenza in crescita di attacchi che si concentrano sul punto cieco delle squadre di sicurezza - chiavi sensibili e credenziali che non detengono direttamente i fondi, ma che possono essere utilizzate per accedere ai fondi. Questo include credenziali di sviluppo, chiavi API di trading e altre chiavi di distribuzione," ha aggiunto.

I dati di DeFiLlama mostrano che il TVL di Resolv ha raggiunto un picco vicino a 684 milioni di dollari nel febbraio 2025, per poi diminuire nel corso dell’anno fino a circa 95 milioni di dollari prima dell’exploit.
Resolv ha dichiarato di collaborare con le autorità di polizia e le società di analisi on-chain, e di "intraprendere tutte le vie disponibili per recuperare gli asset."

Il team ha fortemente sconsigliato di effettuare trading su USR durante l'implementazione delle misure di recupero, aggiungendo che "le azioni degli utenti nel periodo post-sfruttamento potrebbero influenzare il recupero."

Correzione: 6:39 UTC: La versione precedente menzionava erroneamente 80 milioni di dollari come perdita nel titolo e nel corpo della notizia