先ほど、ステーブルコインResolvのかなり深刻なハッキングについて知りました。

悪意のある者は、流通量のコントラクトの脆弱性を発見した後、8千万USドル相当の偽トークンUSRを作成し、約2,500万ドルのETHを引き出しました。
価格は17分で1ドルから2.5セントに下落し、その後わずかに回復して27セントになりました—これは1週間で72％の下落です。

興味深いことに、最初はチームはこれを鍵の妥協と呼びましたが、分析者は本当の問題を発見しました—構造的な欠陥です。
コントラクトの流通権限を持つアカウントであるSERVICE_ROLEは、マルチシグなしの単一鍵で管理されていました。
コントラクトにはオラクルの検証や金額のバリデーション、最大リミットの設定がありませんでした。
攻撃者は10万USDCを投入し、5千万USRを獲得—これは本来の500倍の量です。
システムは何も検証しませんでした。

このインシデント後、専門家たちは、単一鍵の設定は内部・外部の脅威に対して典型的な標的であると指摘しています。
これは新しい現象ではありませんが、特権アカウントに注意を払う重要性を示しています。
これらのアカウントはしばしばセキュリティチームの監視外に置かれています。
Resolvは、法執行機関やブロックチェーン分析企業と協力して資産の回復に努めていると発表しました。
プロジェクトのTVLは2月には6億8400万ドルでしたが、ハッキング前には9,500万ドルにまで減少しました。