Resolv Labs’da yaşanan ciddi bir güvenlik açığı sonucu, bir saldırgan desteklenmeyen USR stablecoin’lardan 80 milyon doların üzerinde miktarda basım yaptı. Bu gelişme token’ın dolar sabitini sert şekilde kaybetmesine neden oldu ve USR’nin fiyatı 25 cent’e kadar düştü.
Cyvers’ta görev yapan Blockchain güvenlik analistlerinin aktardığına göre, bu açık mint işlemlerindeki bir hata nedeniyle gerçekleşti. Akıllı kontratlar denetlendi, ancak buna rağmen yetkisiz şekilde mint yapılabilmesine yol açan açık giderilemedi.
Bu saldırı, protokolde yaşanan büyük ve sebebi belirsiz sermaye çıkışını takip etti. BeInCrypto’nun verilerine göre USR’in toplam piyasa değeri şubat ayı başında yaklaşık 400 milyon dolarken, saldırıdan birkaç hafta önce sadece 100 milyon dolara kadar geriledi.
Resolv, USR 0,25 Dolara Düşünce Protokolü Durdurdu
Likiditenin bu kadar kısa sürede %75 oranında küçülmesi, içeriden bilgi sahibi olanların veya büyük yatırımcıların çöküşten önce sessizce pozisyon kapattığına dair soru işaretlerini beraberinde getiriyor.
Zincir üstü verilere göre, saldırgan açığı tetiklemek için ilk olarak 100.000 dolarlık USD Coin kullandı.
Blockchain güvenlik şirketi PeckShield’ın tahminlerine göre, toplamda 80 milyon dolar değerinde sahte USR üretildi. Şirket, saldırının ilk aşamada 50 milyon dolarlık mint ve ardından 30 milyon dolarlık ikinci bir mint yoluyla gerçekleştiğini belirtiyor.
Saldırgan, desteklenmeyen bu token’ları hemen dump ederek merkeziyetsiz kripto para borsası (DEX) likidite havuzlarına aktardı ve 24 milyon doların üzerinde Ethereum’u sisteme çekti.
Piyasada oluşan şiddetli etkiye rağmen Resolv Labs, teminat havuzunun ‘tamamen korunduğunu’ ve herhangi bir varlık kaybı olmadığını iddia ediyor. Şirket, önceliklerinin meşru kullanıcıları zarardan korumak olduğunu açıkladı.
Bu açıklamalar ile piyasanın gerçekleri arasında büyük uçurum var çünkü USR tutan bireysel yatırımcılar yaşanan %74’lük çöküşün ağır bilançosuyla yüzleşiyor. Resolv protokoldeki tüm işlemleri süresiz olarak durdurmuş durumda.
Güvenlik araştırmacılarına göre olay, ileri düzeyde bir kriptografi savaşından ziyade ciddi bir mimari özensizlikten kaynaklanıyor.
Cyvers CEO’su ve kurucu ortağı Deddy Lavid, BeInCrypto’ya şunları söyledi: ‘Stablecoin riskinin tam olarak ortaya çıktığı anlardan biriyle karşı karşıyayız. Yalnızca denetimle yetinmek yeterli değil; mint ve arzı gerçek zamanlı izlemiyorsanız en kritik anda kör kalırsınız. Her protokol etkileşimi sürekli takip edilmeli, mint, fiyat ya da likiditedeki anormallikler yayılmadan önce engellenmeli. Bu tür olayların zincirleme yaygınlaşmasını engellemenin tek yolu budur’ dedi.
Blockchain analisti Andrew Hong, protokolde kritik ‘servis rolünü’ standart bir EOA (Kendi Varlığına Sahip Adres)’ın kontrol ettiğini raporladı.
Güvenli multisig kontratlar yerine, protokol bu standart cüzdanın yalnızca bir tekil özel anahtarla korunmasına izin verdi.
İnceleme derinleşirken, DeFi platformu YieldsAndMore özellikle bu yönetici rolünde temel güvenlik önlemlerinin eksik olduğunu, maksimum mint limiti ve fiyat-oracle kontrolünün bulunmadığını belirtti.
Sonuç olarak, analistler bu olayın güçlü şekilde ele geçirilmiş bir özel anahtarın ya da potansiyel bir içeriden operasyonun göstergesi olduğunu düşünüyor.
