ความล้มเหลวด้านความปลอดภัยที่ Resolv Labs ได้เปิดช่องให้ผู้ไม่หวังดีสามารถทำการสร้างเหรียญ USR stablecoin เกิน 80 ล้าน USD โดยไม่ได้รับการสนับสนุน ส่งผลให้โทเคนดังกล่าวสูญเสียการตรึงกับมูลค่า USD อย่างรุนแรง และราคาตกฮวบเหลือเพียง 25 เซนต์
ตามการวิเคราะห์ของนักวิเคราะห์ความปลอดภัยบล็อกเชนที่ Cyvers การเจาะระบบครั้งนี้เกิดจากข้อบกพร่องในตรรกะการสร้างเหรียญ สัญญาถูกตรวจสอบแล้ว แต่ปัญหาดังกล่าวยังเปิดโอกาสให้มีการสร้างเหรียญโดยไม่ได้รับอนุญาตโดยไม่มีการตรวจสอบความถูกต้องอย่างเหมาะสม
การแฮกดังกล่าวเกิดขึ้นหลังช่วงเวลาที่มีเงินทุนไหลออกจากโปรโตคอลอย่างมหาศาลและไร้สาเหตุ จากข้อมูลของ BeInCrypto พบว่ามูลค่ารวมของ USR ลดฮวบจากประมาณ 400 ล้าน USD ในช่วงต้นเดือนกุมภาพันธ์ เหลือเพียง 100 ล้าน USD ไม่กี่สัปดาห์ก่อนเกิดการโจมตี
Resolv ระงับโปรโตคอลหลัง USDUSR ร่วงเหลือ 0.25 USD
การหดตัวของสภาพคล่องลงอย่างรวดเร็วถึง 75% นี้ ทำให้เกิดคำถามสำคัญว่าผู้เกี่ยวข้องภายในหรือผู้ลงทุนรายใหญ่ต่างทยอยถอนเงินของตนเองออกก่อนที่ระบบจะล่มหรือไม่
อ้างอิงจากข้อมูลออนเชน ผู้โจมตีใช้เหรียญ USD Coin มูลค่าเริ่มต้น 100,000 USD เพื่อเจาะช่องโหว่ดังกล่าว
บริษัทความปลอดภัยบล็อกเชน PeckShield ประเมิน ว่าจำนวนเหรียญ USR ที่ถูกสร้างขึ้นอย่างไม่ถูกต้องมีมูลค่า 80 ล้าน USD โดยบริษัทระบุว่าการโจมตีดำเนินการผ่านการสร้างเหรียญครั้งแรกที่ 50 ล้าน USD และครั้งถัดมาที่ 30 ล้าน USD
ผู้โจมตีได้ เทขาย เหรียญที่ไม่มีสินทรัพย์รองรับลงใน พูลสภาพคล่องในตลาดแลกเปลี่ยนแบบกระจายศูนย์ และสามารถดึง Ethereum มูลค่ากว่า 24 ล้าน USD ออกไปได้สำเร็จ
แม้จะส่งผลกระทบอย่างรุนแรงต่อราคา Resolv Labs ยังอ้างว่าสินทรัพย์ค้ำประกันของตน “ยังคงสมบูรณ์” และไม่มีทรัพย์สินพื้นฐานสูญหาย โดยบริษัทระบุว่าความสำคัญสูงสุดขณะนี้คือการคุ้มครองผู้ใช้งานที่สุจริตจากผลกระทบ
ข้อความจากบริษัทกลับแตกต่างอย่างชัดเจนกับสภาพความเป็นจริง เนื่องจากผู้ลงทุนรายย่อยที่ถือเหรียญ USR ต่างขาดทุนอย่างหนัก หลังจากราคาเหรียญร่วงลง 74% และ Resolv ได้หยุดการทำงานของโปรโตคอลทั้งหมดโดยไม่มีกำหนด
นักวิจัยด้านความปลอดภัยมองว่ากรณีนี้เกิดจากความประมาทในโครงสร้างระบบอย่างชัดเจน ไม่ใช่เพราะการโจมตีด้วยเทคนิคเข้ารหัสขั้นสูง
นี่คือจุดที่ความเสี่ยงของ stablecoin กลายเป็นความจริง การตรวจสอบเพียงอย่างเดียวนั้นไม่เพียงพอ หากไม่ได้เฝ้าติดตามการ mint และอุปทานแบบเรียลไทม์ คุณจะมองไม่เห็นในการช่วงเวลาสำคัญ ทุกการโต้ตอบกับโปรโตคอลจำเป็นต้องได้รับการตรวจสอบอย่างต่อเนื่อง และความผิดปกติในการ mint, การตั้งราคา หรือสภาพคล่องทั้งหมดต้องถูกหยุดยั้ง ก่อนที่สิ่งเหล่านี้จะแพร่กระจายออกไป นั่นคือวิธีเดียวในการควบคุมเหตุการณ์แบบนี้ ก่อนที่สิ่งเหล่านี้จะขยายวงกว้าง ซีอีโอและผู้ร่วมก่อตั้ง Cyvers, Deddy Lavid กล่าวกับ BeInCrypto
นักวิเคราะห์บล็อกเชน Andrew Hong รายงานว่า Externally Owned Address (EOA) พื้นฐานหนึ่งรายควบคุมบทบาท “บริการ” ที่สำคัญภายในโปรโตคอลนี้
แทนที่จะใช้สัญญา multisignature ที่ปลอดภัย โปรโตคอลกลับอนุญาตให้ใช้กุญแจส่วนตัวเดียวในการดูแลกระเป๋าเงิน crypto มาตรฐานนี้
นอกจากนี้ แพลตฟอร์ม DeFi อย่าง YieldsAndMore ได้ระบุไว้ ว่าบทบาทผู้ดูแลระบบเฉพาะนี้ขาดมาตรการป้องกันที่สำคัญอย่างสิ้นเชิง เช่น ขีดจำกัดการ mint สูงสุด และการตรวจสอบจาก oracle ด้านราคา
ด้วยเหตุนี้ นักวิเคราะห์จึงชี้ให้เห็นว่าเหตุการณ์นี้บ่งชี้ถึง กุญแจส่วนตัวที่ถูกละเมิดความปลอดภัย หรือความเป็นไปได้ของการกระทำโดยคนภายใน
