Hier, une attaque massive a eu lieu contre le stablecoin USR de Resolv, et le prix a chuté de 70 % parce que quelqu’un a retiré environ 25 millions de dollars. Le jeton, qui devrait valoir 1 $, est tombé à 0,27 $ et ne s’est pas encore redressé.

L’essentiel est que le contrat intelligent était plein de failles. Un compte privilégié était géré par une seule clé sans multisignature, il n’y avait pas de vérifications d’oracle et aucune limite sur l’émission de jetons. L’attaquant a déposé 100k USDC et a reçu en échange 50 millions d’USR — soit 500 fois plus que ce qui aurait dû être. Après avoir créé 80 millions de jetons falsifiés, le hacker les a échangés contre USDC et USDT via des échanges décentralisés, puis convertis en ETH. Il détient actuellement 11 409 ETH ( d’environ 23,7 millions de dollars ) et environ 1,1 million de dollars en USR wrapped.

Resolv a d’abord attribué cela à une compromission de la clé privée, mais il s’est avéré que le problème était bien plus profond — il s’agit d’erreurs structurelles dans la conception du contrat. L’équipe travaille actuellement avec les autorités et les analystes blockchain pour récupérer les actifs. Ils demandent pour l’instant de ne pas trader l’USR, car cela pourrait entraver la récupération.

Le TLV du projet était à son sommet à 684 millions en février, mais au moment du piratage, il était tombé à 95 millions. Une histoire typique de sécurité faible — une seule clé contrôlant tout, cela se termine toujours mal.