Resolv Protocol rünnatud: $25 miljonit tõmmatud välja USR-stabiilsete müntide turvalisuselagi

Peamised punktid

• Täpne rünnakuteostaja kasutas ära Resolvi USR-i müntimismehhanismis oleva turvaaugu ja genereeris ligikaudu 80 miljonit tagasisideta tokenit esialgse $200 000 suuruse USDC-depositooriga
• Rünnakuteostaja õnnestus välja võtta 11 409 ETH-i, mille väärtus oli umbes $25 miljonit
• USR-i väärtus langes Curve Finance’is $0,025-ni enne osalist taastumist ligikaudu $0,85-ni
• Resolv on peatanud kõik protokolli toimingud; kuigi meeskond väidab, et kolleteraalipank jääb turvaliseks, kannatasid USR-i tokenite omajad olulisi kaotusi pakkumise inflatsiooni tõttu
• Peamised DeFi-platvormid, sealhulgas Morpho, Lido ja Aave, reageerisid kiiresti, et hinnata oma riski ja selle vähendada

Kriitiline turvarikkumine tabas Resolvi USR-stabiilset valuutat pühapäeval, kui rünnakuteostaja kasutas ära müntimisinfrastruktuuri nõrkusi ja genereeris ligikaudu 80 miljonit tagasisideta tokenit ning lõpetas protokollist ligikaudu $25 miljoni väärtuses Etheri väljavõtmisega.

Halbaimed tegevused algasid umbes kell 2:21 UTC. Rünnakuteostaja alustas rünnakut, depositeerides Resolvi USR Counter-kontakti 100 000 USDC-d ja saades vastu astronomilise 50 miljoni USR-i – umbes 500 korda rohkem kui lubatud summa. Järgmine tehing tootsis lisaks veel 30 miljonit tokenit.

Pärast volitamatut müntimist vahetas rünnakuteostaja süstemaatiliselt petlikke USR-e erinevates decentraliseeritud börsides USDC-ks ja USDT-ks ning kogus seejärel saadud vahendid kokku ETH-iks. Rünnakuteostaja rahakott sisaldab hetkel 11 409 ETH-i, mis vastab praegusel turuväärtusel umbes $23,7 miljonile.

USR, mille eesmärk oli säilitada $1 tasakaalustatud hind, langes katastroofiliselt $0,025-ni Curve Finance’is vaid 17 minutit pärast esimest müntimistehingut. Kuigi tokenil oli osaline taastumine ligikaudu $0,85-ni, jäi ta pühapäeva hommikul oluliselt oma tasakaalustatud hinnast lahti.

Sellest hoolimata rõhutasid blockchaini analüütikud, et olemasolevad USR-i omajad kannatasid olulisi kahju. 80 miljoni uue tokeni massiline sissemüntimine vähenes oluliselt põhjuslikult ringluses olevat pakkumist, samas kui rünnakuteostaja agressiivne müük vähendas saadaolevat reservliku likviidsuse panka. Kõik investeerijad, kes pidasid USR-i sündmusel, kandsid kohe portfelli kaotusi.

Turvaaukud on seotud piisamatu juurdepääsuhaldusega

Blockchaini turvaaudit Andrew Hong tuvastas rünnaku alguse privileegeeritud kontona SERVICE_ROLE. See kriitiline konto oli kontrollitud ühe välise omaniku kontolt (EOA) asemel turvalisema mitmeallkirjaga rahakotiga. Müntimiskontakt puudus olulisi turvakaitsemeetmeid, sealhulgas orakli kinnitust, summade kinnituskavasid ja maksimaalseid müntimispiire.

Turvafirma Pashov, kes auditas Resolvi staking-moodulit juulis 2025, teatas Cointelegraphile, et põhiline probleem tuleneb ilmselt privaatvõtme kompromitteerumisest, mitte protokolli arhitektuuriliste lahenduste sisemistest nõrkustest.

Resolvi ametlik veebisait dokumenteerib viie erineva turvafirma poolt läbi viidud 14 eraldi auditit, Immunefi platvormil korraldatava $500 000 suuruse bugibounty-programmi ning pidevaid nutikate lepingute jälgimissüsteeme.

DeFi-ökosüsteem reageerib kahjude piiramiseks

Arvukad DeFi-platvormid rakendasid rünnaku järel kiireid reageerimismeetmeid. Lido kinnitas, et Lido Earn-i deposiitorite vahendid jäid turvaliseks. Aave asutaja Stani Kulechov teatas, et platvormil ei ole otseselt USR-i ekspositsiooni ja kinnitas, et Resolv tasub aktiivselt välja olemasolevaid võlaususid. Morpho kaasasutaja Merlin Egalite selgitas, et ainult kindlad vaultid olid USR-i ekspositsiooniga.

Kahjulikud tagajärjed levivad laenandussüsteemides

Nii USR kui ka selle staking-tuletis wstUSR olid lubatud kui kolleteraalvarad platvormidel nagu Morpho ja Gauntlet. Turuanalüütikud märkasid, et võimalustega kauplemisega tegelevad kauplejad võisid osta USR-i väga soodsa hinna eest ja kasutada seda USDC laenamiseks täieliku $1 tasakaalustatud hinnaga, tõmmates efektiivselt likviidsusreserveid mõjutatud vaultidest.

Resolvi noorem kindlustustranch RLP kaotab potentsiaalselt oma kapitali. Stream Finance, kellel on suur 13,6 miljoni RLP positsioon, mille väärtus on umbes $17 miljonit, võib edasi kanda täiendavaid kaotusi oma deposiitoritele. Stream avaldas varem novembris 2025 $93 miljoni kaotuse.

RESOLV valitsemistoken langes turvarikkumise järgsel 24-tunnisel ajavahemikul umbes 8,5%.

See Resolvi juhtum illustreerib laiemat tööstuslikku mustrit. Viimase Immunefi raporti kohaselt põhjustab keskmine krüptovaluuta-rünnak nüüd ligikaudu $25 miljoni kahju, kusjuures viis suurimat rünnakut aastatel 2024–2025 moodustasid varastatud vahendite kogusummast 62%.

Postitus „Resolv Protocol Hacked: $25 Million Drained Through USR Stablecoin Vulnerability“ ilmus esimesena Blockonomil.