Hacker. Fonte: Sora Shimazaki/Pexels
Um hacker obteve acesso a uma chave de administrador e, com isso, conseguiu cunhar 80 milhões de unidades da stablecoin Resolv USR (USR), derrubando seu preço abaixo de US$ 1. Como consequência, o atacante acabou lucrando cerca de US$ 25,3 milhões com a ação.
Nas redes sociais, os desenvolvedores da Resolv disseram estar cientes do problema ainda neste domingo (22). Indo além, também enviaram uma mensagem para o hacker, oferecendo uma recompensa de 10% sobre o valor, caso ele devolva os fundos roubados.
Além da Resolv USR (USR) operar em queda de 76,2%, a criptomoeda Resolv (RESOLV) cai 18% na semana.
Em análise publicada logo após o incidente, a Chainalysis, famosa empresa de segurança do setor cripto, explicou como o ataque conseguiu cunhar milhões de tokens sem lastro no protocolo da Resolv.
O primeiro passo do hacker foi ganhar acesso a uma chave de administrador da Resolv, armazenada em um serviço de gerenciamento de chaves da AWS. No entanto, o invasor somente utilizou a chave dentro do próprio sistema para validar a criação de tokens sem o lastro equivalente, burlando o sistema de verificação off-chain.
Com 100 a 200 mil dólares, o hacker conseguiu cunhar 50 milhões de USR em uma primeira transação e outras 30 milhões de unidades na segunda tentativa.
“Isso foi possível porque as autorizações de cunhagem dependiam de um serviço off-chain que usava uma chave privada privilegiada para aprovar a quantidade de USR que poderia ser criada”, explica a Chainalysis. “Infelizmente, o próprio contrato inteligente não impunha nenhum limite máximo de cunhagem — ele apenas verificava se existia uma assinatura válida.”
Dado que essas quantias excederam o lastro da stablecoin, a criptomoeda perdeu sua paridade com o dólar, saindo de US$ 1 para US$ 0,05.
Conforme a stablecoin perdeu valor durante o ataque, o hacker não conseguiu lucrar US$ 80 milhões, mas sim US$ 25,3 milhões (R$ 132 milhões). Segundo análises, a quantia foi então convertida para Ethereum (ETH).
Finalizando, os especialistas em segurança afirmam que o roubo poderia ter sido evitado, principalmente pelo monitoramento de eventos anômalos, como de um swap de US$ 100 mil por US$ 50 milhões em tokens.
Atualizando seus investidores nas redes sociais, os desenvolvedores da Resolv informaram que suas prioridades eram conter o incidente, avaliar o impacto e garantir que usuários legítimos não fossem afetados.
“A pool de garantias permanece totalmente intacta. Nenhum ativo subjacente foi perdido”, explicou a Resolv, notando que “o problema parece estar isolado à mecânica de emissão de USR”.
Independentemente disso, a criptomoeda homônima do projeto também foi afetada. No momento desta redação, a RESOLV opera em queda de 18% em relação ao dia 16 de março.
Em outra nota, a equipe recomendou que investidores não negociem a stablecoin USR ou tokens ligados à Resolv enquanto medidas de recuperação estão sendo planejadas.
Por fim, a última jogada da Resolv foi enviar uma mensagem ao hacker. O texto é uma proposta para que 90% dos fundos sejam devolvidos para que ele fique com uma recompensa de 10%.
“Embora este incidente tenha envolvido uma vulnerabilidade, a exploração foi realizada com clara intenção maliciosa, resultando na criação de ativos sem lastro e possível impacto no mercado secundário”, disse a Resolv em mensagem enviada ao hacker.
Caso o hacker não concorde com os termos, os desenvolvedores prometeram tomar ações legais para recuperar os fundos, entrar em contato com autoridades, trabalhar com corretoras para congelar ativos e divulgar informações sobre ele.
Comentários