Стейблкоїн Resolv USR втратив прив’язку до долара й обвалився на 72% до $0,27 після того, як хакер використав вразливість у мінтинг-контракті протоколу, щоб створити приблизно 80 мільйонів незабезпечених токенів і вивести близько $25 мільйонів в Ether (ETH), залишивши проєкт фактично неплатоспроможним із $95 млн активів проти $173 млн зобов’язань.
Експлойт мінтинг-контракту
Атака відбулася близько 2:21 ночі за UTC у неділю, коли зловмисник використав дві транзакції, щоб замінтити приблизно 80 мільйонів токенів USR без належного забезпечення, згідно з даними кількох блокчейн-аналітичних фірм і ончейн-даних.
Згодом атакувальник обміняв замінчені USR на USDC (USDC) і USDT (USDT) на децентралізованих біржах, конвертував виручку в ETH і наразі володіє 11 409 ETH приблизною вартістю $23,7 млн плюс $1,1 млн у wrapped USR на окремому гаманці.
USR — стейблкоїн, прив’язаний до долара, який використовує дельта-нейтральну хеджувальну стратегію на базі ETH і Bitcoin (BTC), — просів до $0,025 у своєму найбільш ліквідному пулі на Curve Finance протягом 17 хвилин після першого мінту.
Згодом він відновився до близько $0,85, але так і не повернув повну прив’язку до долара.
Також читайте: Trump's 48-Hour Iran Warning: What It Did To BTC, ETH And XRP
Структурні помилки в дизайні
Ончейн-аналітики з’ясували, що першопричини інциденту виходять за межі того, що Resolv спершу описав як «скомпрометований приватний ключ» і «цільовий злам інфраструктури».
Роль SERVICE_ROLE, привілейований акаунт, який виконує запити на своп у мінтинг-контракті, контролювався одним зовнішнім акаунтом (EOA), а не мультипідписом. У контракті не було перевірок оракула, валідації сум і обмежень на максимальний мінт — це дозволило зловмиснику задепозитити 100 000 USDC і отримати 50 мільйонів USR, приблизно у 500 разів більше від очікуваної суми.
Перспективи відновлення
Дані DeFiLlama показують, що TVL Resolv досягало піку близько $684 млн у лютому 2025 року, а потім скоротилося до приблизно $95 млн перед експлойтом.
Resolv заявив, що співпрацює з правоохоронними органами та ончейн-аналітичними фірмами й «використає всі можливі шляхи для повернення активів». Команда наполегливо порадила утриматися від торгівлі USR під час реалізації заходів з відновлення, додавши, що «дії користувачів у післяексплойтний період можуть вплинути на процес відновлення».
Читайте далі: Bitcoin's S&P 500 Correlation Just Flashed A Crash Warning