Um hacker obteve acesso a uma chave de administrador e, com isso, conseguiu cunhar 80 milhões de unidades da stablecoin Resolv USR (USR), derrubando seu preço abaixo de US$ 1. Como consequência, o atacante acabou lucrando cerca de US$ 25,3 milhões com a ação.Nas redes sociais, os desenvolvedores da Resolv disseram estar cientes do problema ainda neste domingo (22). Indo além, também enviaram uma mensagem para o hacker, oferecendo uma recompensa de 10% sobre o valor, caso ele devolva os fundos roubados.Além da Resolv USR (USR) operar em queda de 76,2%, a criptomoeda Resolv (RESOLV) cai 18% na semana.Chainalysis explica como hacker aproveitou vulnerabilidades para lucrar US$ 25,3 milhõesEm análise publicada logo após o incidente, a Chainalysis, famosa empresa de segurança do setor cripto, explicou como o ataque conseguiu cunhar milhões de tokens sem lastro no protocolo da Resolv.O primeiro passo do hacker foi ganhar acesso a uma chave de administrador da Resolv, armazenada em um serviço de gerenciamento de chaves da AWS. No entanto, o invasor somente utilizou a chave dentro do próprio sistema para validar a criação de tokens sem o lastro equivalente, burlando o sistema de verificação off-chain.Com 100 a 200 mil dólares, o hacker conseguiu cunhar 50 milhões de USR em uma primeira transação e outras 30 milhões de unidades na segunda tentativa.“Isso foi possível porque as autorizações de cunhagem dependiam de um serviço off-chain que usava uma chave privada privilegiada para aprovar a quantidade de USR que poderia ser criada”, explica a Chainalysis. “Infelizmente, o próprio contrato inteligente não impunha nenhum limite máximo de cunhagem — ele apenas verificava se existia uma assinatura válida.”Dado que essas quantias excederam o lastro da stablecoin, a criptomoeda perdeu sua paridade com o dólar, saindo de US$ 1 para US$ 0,05.Resolv USR, stablecoin ligada ao projeto Resolv, perde paridade com o dólar após ataque, negociada a US$ 0,25. Fonte: CoinMarketCap.Conforme a stablecoin perdeu valor durante o ataque, o hacker não conseguiu lucrar US$ 80 milhões, mas sim US$ 25,3 milhões (R$ 132 milhões). Segundo análises, a quantia foi então convertida para Ethereum (ETH).Linha do tempo explica passo a passo do hacker que explorou o projeto Resolv para lucrar US$ 25,3 milhões. Fonte: Chainalysis/Reprodução.Finalizando, os especialistas em segurança afirmam que o roubo poderia ter sido evitado, principalmente pelo monitoramento de eventos anômalos, como de um swap de US$ 100 mil por US$ 50 milhões em tokens.Equipe da Resolv reconhece ataque e envia mensagem ao hackerAtualizando seus investidores nas redes sociais, os desenvolvedores da Resolv informaram que suas prioridades eram conter o incidente, avaliar o impacto e garantir que usuários legítimos não fossem afetados.“A pool de garantias permanece totalmente intacta. Nenhum ativo subjacente foi perdido”, explicou a Resolv, notando que “o problema parece estar isolado à mecânica de emissão de USR”.Independentemente disso, a criptomoeda homônima do projeto também foi afetada. No momento desta redação, a RESOLV opera em queda de 18% em relação ao dia 16 de março.Resolv (RESOLV) opera em queda após hacker cunhar milhões em stablecoin sem lastro. Fonte: CoinMarketCap.Em outra nota, a equipe recomendou que investidores não negociem a stablecoin USR ou tokens ligados à Resolv enquanto medidas de recuperação estão sendo planejadas.Por fim, a última jogada da Resolv foi enviar uma mensagem ao hacker. O texto é uma proposta para que 90% dos fundos sejam devolvidos para que ele fique com uma recompensa de 10%.“Embora este incidente tenha envolvido uma vulnerabilidade, a exploração foi realizada com clara intenção maliciosa, resultando na criação de ativos sem lastro e possível impacto no mercado secundário”, disse a Resolv em mensagem enviada ao hacker.Caso o hacker não concorde com os termos, os desenvolvedores prometeram tomar ações legais para recuperar os fundos, entrar em contato com autoridades, trabalhar com corretoras para congelar ativos e divulgar informações sobre ele.Mensagem on-chain enviada da Resolv ao seu hacker. Fonte: EtherScan.Fonte: Hacker explora falha em projeto DeFi, rouba US$ 25,3 milhões e faz stablecoin perder paridade com o dólarVeja mais notícias sobre Bitcoin. Siga o Livecoins no Facebook, Twitter, Instagram e YouTube.