Resolv Labs में एक सुरक्षा फेलियर के कारण एक हमलावर ने $80 मिलियन से ज्यादा के बिना किसी सपोर्ट के USR स्टेबलकॉइन मिंट कर लिए। इससे टोकन अपना डॉलर पेग तेजी से खो बैठा और गिरकर सिर्फ 25 सेंट रह गया।
Cyvers के ब्लॉकचेन सिक्योरिटी एनालिस्ट्स के मुताबिक, यह एक्सप्लॉइट मिंटिंग लॉजिक में आई एक गड़बड़ी के कारण हुआ। कॉन्ट्रैक्ट्स का ऑडिट किया गया था, लेकिन फिर भी इस इश्यू की वजह से बिना सही वैलिडेशन के अनऑथराइज्ड मिंटिंग हो पाई।
यह एक्सप्लॉइट ऐसे दौर के बाद हुआ जब प्रोटोकॉल से बड़ी मात्रा में कैपिटल तेजी से और बिना वजह निकाला गया। BeInCrypto के डेटा के अनुसार, USR का टोटल मार्केट कैप फरवरी की शुरुआत में लगभग $400 मिलियन से गिरकर हमले से कुछ हफ्ते पहले सिर्फ $100 मिलियन रह गया था।
Resolv ने USR के 25 सेंट तक गिरने पर Protocol को पॉज़ किया
लिक्विडिटी में 75% की इतनी तेज गिरावट के बाद यह बड़ा सवाल उठता है कि क्या किसी अंदरूनी या बड़े इन्वेस्टर ने क्रैश से पहले चुपचाप अपनी पोजीशन्स बेच दी थीं।
ऑन-चेन डेटा के अनुसार, हमलावर ने शुरुआती $100,000 USD Coin का इस्तेमाल कर इस वल्नरेबिलिटी को ट्रिगर किया।
ब्लॉकचेन सिक्योरिटी फर्म PeckShield का अनुमान है की पूरा आर्टिफिशियल तरीके से मिंट किया गया USR $80 मिलियन का है। फर्म के अनुसार, यह अटैक पहले $50 मिलियन की मिंट और उसके बाद $30 मिलियन की दूसरी मिंट के जरिए किया गया।
एक्सप्लॉइटर ने तुरंत ही इन बिना सपोर्ट वाले टोकन को डिसेंट्रलाइज्ड एक्सचेंज लिक्विडिटी पूल्स में डंप कर दिया, और करीब $24 मिलियन Ethereum निकालने में सफल रहा।
मार्केट पर बड़े असर के बावजूद, Resolv Labs का दावा है कि उसका कोलेट्रल पूल “पूरा सुरक्षित” है और किसी मूल एसेट का नुकसान नहीं हुआ। कंपनी का कहना है कि उसकी सबसे बड़ी प्राथमिकता अब असली यूजर्स को इस गिरावट से सुरक्षित रखना है।
कंपनी का यह मैसेज मार्केट सच्चाई से बिल्कुल अलग है, क्योंकि इस समय USR के रिटेल होल्डर्स को 74% की गिरावट के बाद भारी नुकसान हो चुका है। Resolv ने सभी प्रोटोकॉल फंक्शंस को अनिश्चितकाल के लिए रोक दिया है।
सिक्योरिटी रिसर्चर्स का मानना है कि यह घटना किसी एडवांस क्रिप्टोग्राफिक हमला नहीं, बल्कि बड़े स्तर की आर्किटेक्चरल लापरवाही से हुई है।
“यहीं पर stablecoin का जोखिम असल में सामने आता है। सिर्फ ऑडिट्स काफी नहीं हैं, अगर आप minting और सप्लाई को रियल-टाइम में मॉनिटर नहीं करते, तो जब सबसे ज़्यादा ज़रूरत हो, तब आप अंधे रहते हैं। हर protocol interaction को लगातार मॉनिटर करना चाहिए, और minting, pricing या liquidity में किसी भी गड़बड़ी को फैलने से पहले ही रोकना जरूरी है। ऐसी घटनाओं को उनके बड़ा बनने से पहले सिर्फ इसी तरह रोका जा सकता है,” Cyvers के CEO & Co-founder Deddy Lavid ने BeInCrypto को बताया।
Blockchain एनालिस्ट Andrew Hong ने रिपोर्ट किया कि एक बेसिक Externally Owned Address (EOA) प्रोटोकॉल के अंदर एक क्रिटिकल “service role” कंट्रोल कर रही थी।
सिक्योर multisignature कॉन्ट्रैक्ट पर निर्भर होने के बजाय, इस प्रोटोकॉल ने सिर्फ एक प्राइवेट की से इस सामान्य क्रिप्टो वॉलेट को सुरक्षित किया था।
जांच बढ़ने के साथ, DeFi प्लेटफॉर्म YieldsAndMore ने बताया कि इस खास administrative role में ज़रूरी security guardrails की कमी थी, जिसमें maximum mint limits और price-oracle checks भी शामिल हैं।
इसी वजह से, एनालिस्ट्स का मानना है कि यह घटना या तो compromised प्राइवेट की या फिर संभावित insider ऑपरेशन की तरफ इशारा करती है।
