Протокол Resolv зазнав злому: $25 мільйонів виведено через вразливість стейблкоїна USR

Ключові моменти

• Витончений зловмисник скористався вразливістю в механізмі майнінгу USR Resolv, згенерувавши приблизно 80 мільйонів токенів без забезпечення з початкового депозиту лише в $200,000 у USDC
• Хакер успішно вилучив 11,409 ETH, оцінених приблизно в $25 мільйонів
• Вартість USR впала до $0.025 на Curve Finance перед частковим відновленням приблизно до $0.85
• Resolv призупинив всі операції протоколу; хоча команда стверджує, що пул забезпечення залишається захищеним, власники токенів USR зазнали значних втрат через інфляцію пропозиції
• Великі DeFi платформи, включаючи Morpho, Lido та Aave, швидко відреагували, щоб оцінити та пом'якшити свої ризики

Критичне порушення безпеки вразило стейблкоїн USR Resolv у неділю, коли зловмисник скористався вразливостями в інфраструктурі майнінгу, щоб згенерувати приблизно 80 мільйонів токенів без забезпечення, зрештою вилучивши приблизно $25 мільйонів Ether з протоколу.

Зловмисна діяльність розпочалася приблизно о 2:21 ранку UTC. Зловмисник ініціював атаку, внісши 100,000 USDC в контракт USR Counter Resolv, отримавши астрономічні 50 мільйонів USR у відповідь — приблизно в 500 разів більше законної суми. Наступна транзакція створила додаткові 30 мільйонів токенів.

Після несанкціонованого майнінгу зловмисник систематично обмінював шахрайські USR на USDC та USDT через різні децентралізовані біржі, згодом консолідувавши виручку в ETH. Гаманець зловмисника наразі містить 11,409 ETH, що становить приблизно $23.7 мільйона за поточною ринковою вартістю.

USR, розроблений для підтримки прив'язки ціни в $1, катастрофічно обвалився до $0.025 на Curve Finance лише через 17 хвилин після початкової транзакції майнінгу. Хоча токен пережив часткове відновлення приблизно до $0.85, він залишався значно відірваним від прив'язки станом на ранок неділі.

Незважаючи на ці запевнення, аналітики блокчейну підкреслили, що існуючі власники USR зазнали значної шкоди. Масовий приплив 80 мільйонів новостворених токенів серйозно розбавив циркуляційну пропозицію, тоді як агресивний продаж зловмисника виснажив доступну ліквідність пулу. Будь-які інвестори, що тримали USR під час інциденту, зазнали негайних втрат портфеля.

Недоліки безпеки простежені до неадекватного управління доступом

Аналітик безпеки блокчейну Ендрю Хонг визначив джерело порушення як привілейований акаунт, позначений як SERVICE_ROLE. Цей критичний акаунт контролювався одним зовнішнім акаунтом, а не більш захищеним гаманцем з мультипідписом. Контракт майнінгу не мав основних захисних механізмів, включаючи верифікацію оракулом, протоколи перевірки сум та максимальні пороги майнінгу.

Pashov, компанія з перевірки безпеки, яка раніше проводила аудит модуля стейкінгу Resolv у липні 2025 року, повідомила Cointelegraph, що фундаментальна проблема, здається, випливає з компрометації приватного ключа, а не з притаманних слабкостей архітектурного дизайну протоколу.

Офіційний вебсайт Resolv документує 14 окремих аудитів, проведених п'ятьма різними компаніями з безпеки, програму винагород за виявлення помилок на $500,000, розміщену на Immunefi, та постійні системи спостереження за смартконтрактами.

Екосистема DeFi реагує на стримування наслідків

Численні DeFi платформи впровадили заходи швидкого реагування після експлойту. Lido підтвердив, що кошти користувачів, депоновані в Lido Earn, залишаються захищеними. Засновник Aave Стані Кулечов заявив, що платформа не має прямого впливу USR та підтвердив, що Resolv активно погашає непогашений борг. Співзасновник Morpho Мерлін Егаліт уточнив, що лише певні сховища мали експозицію USR.

Ефекти зараження поширюються через екосистеми кредитування

Як USR, так і його стейкований дериватив wstUSR були схвалені як активи забезпечення на таких платформах, як Morpho та Gauntlet. Ринкові аналітики спостерігали, що опортуністичні трейдери могли придбати USR за його значно зниженою ціною та використати його для позики USDC за повною оцінкою в $1, фактично виснажуючи резерви ліквідності з уражених сховищ.

Молодший страховий транш Resolv, RLP, також стикається з потенційним знеціненням капіталу. Stream Finance, що володіє значною позицією в 13.6 мільйона RLP вартістю приблизно $17 мільйонів, може передати додаткові збитки своїй базі вкладників. Stream раніше розкрила збиток у $93 мільйони в листопаді 2025 року.

Токен управління RESOLV знизився приблизно на 8.5% протягом 24-годинного періоду після порушення безпеки.

Цей інцидент Resolv є прикладом більш широкого галузевого патерну. Згідно з нещодавнім звітом Immunefi, середній злом криптовалюти тепер завдає збитків приблизно в $25 мільйонів, при цьому п'ять найбільших експлойтів протягом 2024–2025 років становлять 62% від загальних вкрадених коштів.

Публікація Resolv Protocol Hacked: $25 Million Drained Through USR Stablecoin Vulnerability вперше з'явилася на Blockonomi.