Протокол Resolv взломан: $25 миллионов выведено через уязвимость стейблкоина USR

Ключевые моменты

• Изощренный злоумышленник воспользовался уязвимостью в механизме майнинга USR от Resolv, создав приблизительно 80 миллионов необеспеченных токенов из первоначального депозита всего в 200 000 $ в USDC
• Хакер успешно извлек 11 409 ETH, оцениваемых приблизительно в 25 миллионов $
• Стоимость USR обрушилась до 0,025 $ на Curve Finance, прежде чем частично восстановиться примерно до 0,85 $
• Resolv приостановил все операции протокола; хотя команда утверждает, что залоговый пул остается безопасным, держатели токенов USR понесли значительные убытки из-за инфляции предложения
• Крупные DeFi платформы, включая Morpho, Lido и Aave, быстро отреагировали для оценки и снижения своих рисков

Критический взлом безопасности поразил стейблкоин USR от Resolv в воскресенье, когда злоумышленник использовал уязвимости в инфраструктуре майнинга для создания приблизительно 80 миллионов необеспеченных токенов, в конечном итоге выведя примерно 25 миллионов $ в эфире из протокола.

Вредоносная активность началась около 02:21 UTC. Злоумышленник начал атаку, внеся 100 000 USDC в контракт USR Counter от Resolv, получив взамен астрономические 50 миллионов USR — приблизительно в 500 раз больше легитимной суммы. Последующая транзакция создала дополнительно 30 миллионов токенов.

После несанкционированного майнинга злоумышленник систематически обменивал мошеннические USR на USDC и USDT через различные децентрализованные биржи, затем консолидировав выручку в ETH. Кошелек злоумышленника в настоящее время содержит 11 409 ETH, что составляет приблизительно 23,7 миллиона $ по текущей рыночной стоимости.

USR, разработанный для поддержания привязки к цене 1 $, катастрофически обрушился до 0,025 $ на Curve Finance всего через 17 минут после первоначальной транзакции майнинга. Хотя токен испытал частичный отскок до приблизительно 0,85 $, он оставался значительно отвязанным от привязки в воскресенье утром.

Несмотря на эти заверения, аналитики блокчейна подчеркнули, что существующие держатели USR понесли существенный ущерб. Массовый приток 80 миллионов недавно созданных токенов серьезно размыл оборотное предложение, в то время как агрессивные продажи злоумышленника истощили доступную ликвидность пула. Любые инвесторы, держащие USR во время инцидента, испытали немедленные потери портфеля.

Недостатки безопасности связаны с неадекватным управлением доступом

Аналитик безопасности блокчейна Эндрю Хонг определил источник взлома как привилегированную учетную запись, обозначенную как SERVICE_ROLE. Эта критическая учетная запись контролировалась одной внешней учетной записью, а не более безопасным кошельком с мультиподписью. В контракте майнинга отсутствовали основные меры защиты, включая верификацию оракула, протоколы валидации суммы и максимальные пороги майнинга.

Pashov, компания по безопасности, которая ранее проверила модуль стейкинга Resolv в июле 2025 года, сообщила Cointelegraph, что фундаментальная проблема, по-видимому, связана с компрометацией приватного ключа, а не с внутренними недостатками архитектурного дизайна протокола.

Официальный сайт Resolv документирует 14 отдельных проверок безопасности, проведенных пятью различными компаниями по безопасности, программу вознаграждения за ошибки на 500 000 $, размещенную на Immunefi, и текущие системы мониторинга смарт-контрактов.

Экосистема DeFi реагирует на сдерживание последствий

Многочисленные DeFi платформы внедрили меры быстрого реагирования после эксплойта. Lido подтвердил, что средства пользователей, внесенные в Lido Earn, остались в безопасности. Основатель Aave Стани Кулечов заявил, что платформа не имеет прямого воздействия USR и подтвердил, что Resolv активно погашает непогашенный долг. Сооснователь Morpho Мерлин Эгалите уточнил, что только определенные хранилища имели воздействие USR.

Эффекты заражения распространяются через экосистемы кредитования

И USR, и его производный токен стейкинга wstUSR были одобрены в качестве залоговых активов на платформах, таких как Morpho и Gauntlet. Рыночные аналитики отметили, что оппортунистические трейдеры могли приобрести USR по его сильно сниженной цене и использовать его для займа USDC по полной оценке 1 $, эффективно истощая ликвидность резервов из затронутых хранилищ.

Младший страховой транш Resolv, RLP, также сталкивается с потенциальным обесцениванием капитала. Stream Finance, владеющая значительной позицией 13,6 миллиона RLP стоимостью приблизительно 17 миллионов $, могла передать дополнительные убытки своей базе вкладчиков. Stream ранее раскрыла убытки в 93 миллиона $ в ноябре 2025 года.

Токен управления RESOLV снизился приблизительно на 8,5% в течение 24 часов после взлома безопасности.

Этот инцидент с Resolv иллюстрирует более широкую отраслевую тенденцию. Согласно недавнему отчету Immunefi, средний взлом криптовалюты теперь причиняет ущерб приблизительно в 25 миллионов $, причем пять крупнейших эксплойтов в течение 2024–2025 годов представляют 62% от общего объема украденных средств.

Пост Resolv Protocol Hacked: 25 миллионов $ выведено через уязвимость стейблкоина USR впервые появился на Blockonomi.