Um hacker conseguiu uma façanha impressionante ao acessar uma chave de administrador, permitindo que ele cunhasse 80 milhões de unidades da stablecoin Resolv USR (USR). Essa ação fez o preço da moeda despencar para abaixo de US$ 1. Com isso, o atacante obteve um lucro de aproximadamente US$ 25,3 milhões.
Os desenvolvedores da Resolv se manifestaram nas redes sociais e disseram que estavam cientes do problema desde domingo (22). Eles foram além e mandaram uma mensagem ao hacker, oferecendo uma recompensa de 10% do valor, caso ele devolvesse os fundos.
A situação não é nada boa para a Resolv. Além da Resolv USR (USR) ter caído 76,2% em valor, a criptomoeda Resolv (RESOLV) também enfrentou uma baixa de 18% apenas nesta última semana.
Chainalysis detalha o ataque e os lucros do hacker
Logo após o incidente, a empresa de segurança Chainalysis divulgou uma análise sobre como o ataque aconteceu. De acordo com eles, o hacker explorou vulnerabilidades do protocolo da Resolv para cunhar milhões de tokens sem lastro.
Primeiro, o hacker ganhou acesso a uma chave de administrador, que estava armazenada em um serviço de gerenciamento de chaves da AWS. Ele utilizou essa chave dentro do sistema da Resolv, permitindo a criação de tokens sem o lastro correspondente, contornando o sistema de verificação.
Com um investimento de cerca de US$ 100 a 200 mil, o hacker conseguiu criar 50 milhões de USR em uma primeira transação e mais 30 milhões em uma segunda.
“Isso foi possível porque as permissões para cunhagem dependiam de um serviço que usava uma chave privada para aprovar a quantidade de USR que poderia ser criada”, explica a Chainalysis. Eles ressaltam que o contrato inteligente em si não limitava a quantidade de tokens, apenas verificava se a assinatura era válida.
Esse excesso na criação de tokens fez a stablecoin perder a paridade com o dólar, saindo de US$ 1 para apenas US$ 0,05.
Embora o hacker tenha conseguido um lucro de US$ 25,3 milhões, analistas apontam que ele não chegou a lucrar os US$ 80 milhões que inicialmente poderia ter conseguido. Após o ataque, o valor foi convertido para Ethereum (ETH).
A equipe da Resolv reconhece o ataque e se comunica com o hacker
A equipe da Resolv, ao atualizar seus investidores, deixou claro que suas prioridades eram conter o incidente, acessar o impacto da situação e garantir que usuários legítimos não fossem prejudicados.
A boa notícia é que, segundo eles, “a pool de garantias permanece totalmente intacta. Nenhum ativo subjacente foi perdido”. O problema, de acordo com a Resolv, parece estar restrito à mecânica de emissão do USR. Mas a criptomoeda RESOLV também foi afetada e, neste momento, registra uma queda de 18% desde 16 de março.
Eles também pedem que os investidores não negociem a stablecoin USR ou quaisquer tokens ligados ao projeto até que um plano de recuperação seja definido.
Para finalizar, a Resolv lançou uma proposta ao hacker: se 90% dos fundos forem devolvidos, ele ficaria com 10% como recompensa. Em sua mensagem, a equipe reforçou que, embora o incidente tenha envolvido uma vulnerabilidade, a ação foi claramente maliciosa, resultando na criação de ativos sem lastro.
Se o hacker não aceitar os termos, os desenvolvedores se comprometeram a buscar os meios legais para recuperar os fundos, incluindo o contato com autoridades e corretoras para congelar os ativos.
