Resolv USR (USR)

#PeckShieldAlert 已从 #resolv 攻击者持有的资产中销毁了 32.4M $wstUSR（占非法铸造的 80M $USR 的 40%），这有助于通过直接销毁和列入黑名单的方式，总计中和约 46M USR 的非法铸造供应。 https://t.co/0D9boBMxW9

🚨 这就是DeFi被抽干的方式…

“一把拥有几乎无限权限的密钥，可以随意铸造任意数量的USR”

没有奇怪的漏洞。没有破损的密码学。只有一个以管理员身份在生产环境中的神模式密钥 💀💸

~ @omeragoldberg

https://t.co/Dzb7kuGoRR

我坚信最近的 @ResolvLabs 漏洞完全本可以避免。

以下是3月22日事件的经过 & 事后情况 ↓

→ 攻击者获取了链下 AWS 私钥
→ 他存入 $200K，并铸造了 80M 未抵押的 USR（400x 超额）
→ ~$23.85M 的 ETH 在 17 分钟内被提取
→ USR 价格从 $1.00 跌至 $0.025

USR 合约本身运作完美，顺便说一下。
审计也完成了应有的工作，所以并不是审计的错。

与 Resolv 对接的协议，如 @Morpho、@0xfluid 和 @lista_dao 迅速采取行动，遏制了损失。

截至目前，@ResolvLabs 已完成 98% 的白名单赎回。

团队未发现内部人员参与，并邀请 Mandiant 与 ZeroShadow 深入分析了情况。

与此同时，约 $25M 的 ETH 仍在攻击者手中。

运营安全与智能合约审计同等重要，甚至更为关键。

如果当初有妥善的密钥管理和更好的链上防护措施，这一情况本可避免。真遗憾。

而昨天，我们又遭遇了一起 DeFi 黑客事件 –