نحوه وقوع سرقت ۲۵ میلیون دلاری از مینتینگ Resolv USR یک هکر با سوءاستفاده از آسیب‌پذیری قرارداد هوشمند Resolv توانست ۲۵ میلیون دلار توکن USR را بدون پشتوانه مینت کند و وجوه را به کیف پول خود منتقل کرد.

USR، یک استیبل‌کوین بیش از حد وثیقه‌گذاری‌شده که به طور بومی با اتریوم (ETH) پشتیبانی می‌شود و توسط پروتکل Resolv مدیریت می‌گردد، در تاریخ ۲۲ مارس پس از آنکه یک مهاجم میلیون‌ها توکن بدون پشتوانه ضرب کرد و طبق گزارش‌ها حداقل ۲۵ میلیون دلار استخراج نمود، ارزش خود را از دست داد.

بر اساس گزارش شرکت تحلیل بلاکچین Chainalysis، این حادثه به شرح زیر رخ داد.

مهاجم با سوءاستفاده از کلید ضرب، ۸۰ میلیون USR بدون پشتوانه ایجاد کرد

Chainalysis توضیح داد که مهاجم به سرویس مدیریت کلید AWS متعلق به Resolv دسترسی پیدا کرد، جایی که یک کلید امضای دارای دسترسی بالا ذخیره شده بود. این دسترسی به او اجازه داد تا عملیات ضرب توکن را با استفاده از مجوزهای خود پروتکل تأیید کند.

دو تراکنش برجسته در این حمله وجود داشت: اولین تراکنش ۵۰ میلیون USR و دومی ۳۰ میلیون USR دیگر ضرب کرد تا مجموعاً ۸۰ میلیون توکن ایجاد شود. اما طبق گزارش Chainalysis، این عملیات ضرب تنها با سپرده‌های USDC به ارزش بین ۱۰۰ تا ۲۰۰ هزار دلار پشتیبانی شده بود که مهاجم از آن برای ایجاد خروجی‌های مبادله‌ای بزرگ‌تر استفاده کرد.

مهاجم به سرعت اقدام کرد و USRهای تازه ضرب‌شده را به USR استیک‌شده رپدشده (wstUSR) تبدیل کرد؛ این توکن مشتقه نمایانگر سهمی از یک استخر استیکینگ است و مقدار ثابتی ندارد. سپس وجوه را به سایر استیبل‌کوین‌ها و بعد به اتریوم تبدیل کرد و با جابجایی میان چندین استخر صرافی غیرمتمرکز و پل‌های بلاکچینی، ردپای خود را پنهان نمود.

آزمایشگاه Resolv تأیید کرد که این نفوذ به دلیل افشای یک کلید خصوصی رخ داده است. تیم Resolv پس از شناسایی مشکل، قراردادها را متوقف کرد و موفق شد نزدیک به ۹ میلیون USR که در اختیار مهاجم بود را بسوزاند. همچنین اعلام شد که حدود ۵۰۰ هزار دلار بازخرید قبل از توقف عملیات انجام شده است.

طبق گزارش Chainalysis، مهاجم حدود ۱۱,۴۰۰ اتریوم (ETH) به ارزش تقریبی ۲۵ میلیون دلار در زمان سرقت در اختیار دارد. همچنین او حدود ۲۰ میلیون wstUSR نیز دارد که ارزش بسیار کمتری دارند.

کاهش ارزش USR

بلافاصله پس از حمله، قیمت USR طبق داده‌های CoinGecko به پایین‌ترین سطح تاریخی خود یعنی حدود ۰.۱۴ دلار سقوط کرد. هرچند قیمت اندکی بازیابی شد، اما در زمان نگارش این خبر همچنان بیش از ۵۷٪ نسبت به ۲۴ ساعت گذشته کاهش داشته است.

به گفته تیم Resolv، هنوز دست‌کم ۷۱ میلیون توکن ضرب‌شده غیرمجاز در عرضه در گردش USR وجود دارد که CoinGecko تعداد کل توکن‌های در گردش را کمی بیش از ۱۷۶ میلیون اعلام کرده است. با این حال، تیم Resolv فرآیند بازخرید برای تمام USRهای ضرب‌شده پیش از حادثه را آغاز کرده و این روند با کاربران لیست‌شده شروع شده است.

این اتفاق به‌ویژه آسیب‌زننده است، چرا که طبق یک نظرسنجی اخیر توسط Ripple، ۷۴٪ مدیران مالی استیبل‌کوین‌ها را ابزار مفیدی برای مدیریت جریان نقدینگی و عملیات خزانه‌داری می‌دانند. در عین حال، ۸۹٪ آن‌ها امنیت نگهداری دارایی را اولویت اصلی هنگام انتخاب ارائه‌دهندگان خدمات عنوان کرده‌اند که اهمیت زیرساخت‌های ایمن را نشان می‌دهد.

Resolv اعلام کرده است که با شرکا، نیروهای انتظامی و شرکت‌های تحلیلی برای ردیابی وجوه و بازیابی دارایی‌ها همکاری می‌کند و به کاربران هشدار داده است که تا پایان فرآیند بازیابی، از معامله با توکن‌های آسیب‌دیده خودداری کنند.

منبع: لینک خبر