Acabei de saber de uma violação bastante grave na stablecoin Resolv. Depois que o atacante descobriu uma vulnerabilidade no contrato de cunhagem, ele criou 80 milhões de tokens falsificados de USR e retirou cerca de 25 milhões de dólares em ETH. O preço caiu de um dólar para 2,5 centavos em 17 minutos, depois recuperou um pouco para 27 centavos – uma queda de 72% em uma semana.

Curiosamente, a equipe inicialmente chamou isso de comprometimento de chave, mas os analistas descobriram o verdadeiro problema – falhas estruturais. SERVICE_ROLE, uma conta privilegiada para cunhagem, era controlada por uma única chave sem assinatura múltipla. O contrato não tinha verificações de oráculo, validação de somas ou limites máximos. O atacante depositou 100 mil USDC e recebeu 50 milhões de USR – 500 vezes mais do que deveria. O sistema não verificou nada.

Após esse incidente, especialistas dizem que configurações com uma única chave são um alvo clássico para ameaças internas e externas. Não é uma novidade, mas mostra o quão importante é prestar atenção às contas com privilégios, que muitas vezes ficam fora do radar das equipes de segurança. A Resolv afirmou que está trabalhando com as autoridades e empresas de análise de blockchain para recuperar os ativos. O TVL do projeto era de 684 milhões de dólares em fevereiro, mas antes da violação caiu para 95 milhões.