Resolvステーブルコインが70％暴落、攻撃者が2,500万ドル相当のETHを抽出

ステーブルコインは1ドルの価値を持つことが期待されています。ResolvのUSRは27セントの価値であり、その修正のための計算は機能していません。

攻撃者は、日曜日の午前2時21分（UTC）頃にResolvのUSRステーブルコインの鋳造コントラクトの脆弱性を悪用し、2つのトランザクションで約8,000万枚の無担保トークンを生成し、約2,500万ドルを抽出したと、複数のブロックチェーンセキュリティ企業とオンチェーンデータが報告しています。

攻撃者はその後、ミントしたUSRを分散型取引所でUSDCおよびUSDTに交換し、得られた資金をETHに変換しました。現在、別のウォレットに約2370万ドル相当の11,409 ETHと110万ドル相当のラップドUSRを保有しています。

ETHおよびBTCを担保とし、デルタ・ニュートラル・ヘッジ戦略を採用したドルペッグ型ステーブルコインであるUSRは、DEX Screenerによると、初回ミントから17分以内に最も流動性の高いCurve Financeプールで0.025ドルに急落しました。

その後約0.85ドルまで回復しましたが、ペッグ（連動）は回復していません。月曜の朝時点での取引価格は0.27ドルで、週間で72％下落しています。

根本原因はResolvの当初の発表よりも深刻でした。チームはこのインシデントを「プライベートキーの漏洩」および「標的型インフラストラクチャーの侵害」と説明しました。

しかしオンチェーンアナリスト 実際の問題は構造的なものであることが判明しました。ミンティング契約内でスワップリクエストを完了する特権アカウントである SERVICE_ROLE は、マルチシグではなく単一の外部所有アカウントによって管理されていました。契約にはオラクルチェック、金額の検証、および最大ミント制限が欠如していました。

攻撃者は100,000 USDCを預け入れ、その見返りとして5,000万US​​Rを受け取りました。これは予想される量の約500倍に相当します。システム内にはその比率が妥当かどうかを確認する仕組みがまったくなかったためです。

「ほとんどのスマートコントラクトにおいて、この構成は珍しいことではありません」と、暗号鍵管理企業Sodotの創設者イド・ソファー氏はCoinDeskに語った。「契約の詳細に権限を持つ鍵が存在します ― 今回のようにミントに関しては、その点がしばしば見過ごされがちです。この単一の障害点は、内部および外部の脅威にとって魅力的な標的となります。」

「これは、セキュリティチームの盲点となっている攻撃の増加傾向と結びついています。直接的に資金を保有していないものの、資金へのアクセスに利用可能な機密キーや認証情報が標的となっています。これには、開発者の認証情報、取引APIキー、その他の展開用キーが含まれます」と彼は付け加えました。

DeFiLlamaのデータによると、ResolvのTVLは2025年2月に約6億8400万ドルでピークを迎え、その後、年内に減少し、エクスプロイト前には約9500万ドルとなっていました。
Resolvは、法執行機関やオンチェーン分析企業と協力しており、「資産回収のために利用可能なあらゆる手段を追求する」と述べています。

回復措置が実施されている間、USRの取引は強く控えるようチームは助言しており、「ポストエクスプロイト期間中のユーザーの行動が回復に影響を及ぼす可能性がある」と付け加えた。

訂正：6:39 UTC：前回のバージョンでは、タイトルおよび記事本文において損失額を8,000万ドルと誤って記載しておりました