Vừa mới biết về một vụ hack khá nghiêm trọng của stablecoin Resolv. Sau khi kẻ tấn công phát hiện ra lỗ hổng trong hợp đồng đúc token, hắn đã tạo ra 80 triệu token giả USR và rút khoảng 25 triệu đô la bằng ETH. Giá đã giảm từ 1 đô la xuống còn 2,5 cent trong vòng 17 phút, rồi phục hồi nhẹ lên 27 cent – giảm 72% trong vòng một tuần.

Thật thú vị, ban đầu nhóm phát triển gọi đây là sự cố liên quan đến khóa bị xâm phạm, nhưng các nhà phân tích đã phát hiện ra vấn đề thực sự – các thiếu sót về cấu trúc. SERVICE_ROLE, tài khoản có đặc quyền để đúc token, được kiểm soát bởi một khóa duy nhất không có đa chữ ký. Hợp đồng không có kiểm tra oracle, xác thực tổng và giới hạn tối đa. Kẻ tấn công đã nạp 100.000 USDC và nhận về 50 triệu USR – gấp 500 lần số token hắn có thể có. Hệ thống không có bất kỳ kiểm tra nào.

Sau vụ việc này, các chuyên gia cho biết, các cấu hình với một khóa duy nhất như vậy là mục tiêu phổ biến của các mối đe dọa nội bộ và bên ngoài. Đây không phải là hiện tượng mới, nhưng cho thấy tầm quan trọng của việc chú ý đến các tài khoản có đặc quyền, thường bị bỏ qua trong các đội ngũ an ninh. Resolv tuyên bố đang hợp tác với cơ quan thực thi pháp luật và các công ty phân tích blockchain để phục hồi tài sản. TVL của dự án đã đạt 684 triệu đô la vào tháng 2, nhưng trước khi bị hack, đã giảm xuống còn 95 triệu.