🧵1/ ⚠️ 漏洞分析：Resolv Labs 攻击损失 8000 万美元 今天早些时候，@ResolvLabs 因其集中参数验证机制的失败而遭到攻击。 攻击者仅用大约 20 万美元的资本，分别使用 10 万美元的 USDC 铸造了 5000 万和 3000 万 USR，导致总损失约为 8000 万美元。 事件发生后，稳定币 $USR 短暂脱钩至 0.051 美元。

🧵2/ 攻击机制 Resolv Labs 的 #TheCounter 合约中的 completeSwap 函数允许通过 _targetAmount 参数来确定铸造的 $USR 数量。

🧵3/ completeSwap 函数检查调用者地址 (msg.sender) 必须持有 SERVICE_ROLE。这意味着在用户提交交换交易后，项目团队需要对参数进行集中验证，例如 _targetAmount，只有在确认正确后，他们才会调用此函数以完成交易。 根据这两笔攻击交易，$100K USDC 对应的 _targetAmount 值分别为 50M 和 30M USR。显然，项目的 _targetAmount 验证机制失败了。 由于 _targetAmount 验证是集中式的且不是开源的，因此在此阶段无法确定根本原因。不能排除内部人员参与、集中系统被攻破或 SERVICE_ROLE 私钥泄露等可能性。

2/ 攻击机制 Resolv Labs 的 #TheCounter 合约中的 completeSwap 函数允许通过 _targetAmount 参数来确定铸造的 $USR 数量。