Resolv Labsでセキュリティ上の不備が発生し、攻撃者が実体のないUSRステーブルコインを8000万ドル超分ミントできる事態となった。この影響でトークンはドルとのペッグを激しく失い、価格は0.25ドルまで暴落した。
Cyversのブロックチェーンセキュリティアナリストによれば、本事案はミント処理ロジックの欠陥に起因する。契約は監査を受けていたが、それにもかかわらず正当な検証がなされないまま不正にミントできる問題が残っていた。
この攻撃は、当プロトコルで説明のつかない大規模な資本流出が続いた後に発生した。BeInCryptoのデータによれば、USRの時価総額は2月初旬の約4億ドルから、攻撃の数週間前には1億ドル程度にまで急落していた。
Resolv、USR急落でプロトコル一時停止
こうした流動性の75%急減は、インサイダーや大口投資家が崩壊前に密かにポジションを解消していた可能性に重大な疑念を投げかける。
オンチェーンデータによれば、攻撃者は最初にUSDコイン10万ドルを用いて脆弱性を突いた。
ブロックチェーンセキュリティ企業PeckShieldは、人工的に生成されたUSRの総量を8000万ドルと推定している。同社によれば、最初に5000万ドル分をミントし、次いで3000万ドル分をミントする2段階で攻撃が行われたという。
攻撃者はミントされた無担保トークンを即座に分散型取引所の流動性プールに投入し、イーサリアムで2400万ドル超を引き抜くことに成功した。
激しい市場影響にもかかわらず、Resolv Labsは担保プールが「完全に維持されている」と主張し、基礎資産の損失はなかったとした。正規ユーザー保護を最優先事項に掲げている。
しかしこの企業発表は市場実態と大きく乖離しており、USRを保有していた個人投資家は74%の暴落で甚大な損失を被っている。Resolvはすべてのプロトコル機能を無期限で停止した。
セキュリティ研究者らは、本件の根本は高度な暗号攻撃ではなく、著しい設計上の怠慢にあると指摘している。
「まさにここでステーブルコインリスクが現実となる。監査だけでは不十分であり、ミントや供給のリアルタイム監視がなければ、肝心な時に何も見えなくなる。すべてのプロトコル操作は常時監視が必須であり、ミント、価格、流動性の異常は早期に遮断すべきだ。それが波及的な被害拡大を防ぐ唯一の方法だ」―Cyversのデディ・ラビドCEO兼共同創業者がBeInCryptoに語る。
ブロックチェーンアナリストのアンドリュー・ホン氏によれば、単純なEOA(外部所有アドレス)が、プロトコルで重要な「サービスロール」を管理していた。
安全なマルチシグ契約の導入ではなく、1つの秘密鍵だけでこの標準的な暗号資産ウォレットを保護していた。
さらに検証が進む中、DeFiプラットフォームYieldsAndMoreは、この管理ロールに最大ミント上限や価格オラクルチェックといった基本的なセキュリティガードレールが存在しなかったと指摘した。
このことからアナリストたちは、今回の事件は秘密鍵の流出または内部関係者による関与を強く示唆していると分析している。
