Стейблкоїн Resolv USR зазнав масштабної експлуатації вразливості
У неділю вранці вразливість у протоколі Resolv суттєво вплинула на ринок DeFi. Кілька компаній із блокчейн-безпеки підтвердили, що зловмисник скористався помилкою в контракті емісії стейблкоїна USR, створивши близько 80 мільйонів незабезпечених токенів USR і вивівши з ринку активи на суму приблизно 25 мільйонів доларів.
Атака відбулася близько 02:21 (UTC) і першою була виявлена акаунтом моніторингу блокчейну YieldsAndMore, який зафіксував незвичні транзакції.
Деталі атаки: невеликі депозити — величезний випуск токенів
Дані блокчейн-транзакцій показують, що зловмисник спочатку вніс 100 000 USDC у контракт USR Counter протоколу Resolv. Теоретично це мало б повернути таку ж суму USR.
Однак результат виявився серйозною аномалією:
- Перша транзакція випустила близько 50 мільйонів USR
- Друга транзакція — ще 30 мільйонів USR
Загальний випуск приблизно у 500 разів перевищив очікуване значення.
Стрімке падіння ціни USR
USR — це стейблкоїн, прив’язаний до долара США, але замість фіатних резервів він використовує комбінацію ETH та BTC із дельта-нейтральною стратегією хеджування. Коли було випущено велику кількість незабезпечених токенів, ринкова ціна швидко втратила контроль.
Реакція ринку включала:
- У пулі ліквідності Curve Finance
- Ціна впала до 0,025 долара за 17 хвилин
(Джерело: DEXSCREENER)
Хоча ціна короткочасно зросла до приблизно 0,85 долара, повернути фіксацію до 1 долара не вдалося.
Переміщення коштів зловмисника
Адреса зловмисника, що починається з 0x04A2, здійснила низку арбітражних операцій:
- Обміняла випущені USR на USDC і USDT
- Продала ці активи через різні децентралізовані біржі
- Зрештою конвертувала виручене в ETH
Дані блокчейну свідчать:
- Основний гаманець містить 11 409 ETH
- Орієнтовна вартість — близько 23,7 мільйона доларів
Ще одна адреса зберігає близько 1,1 мільйона у wstUSR.
Реакція Resolv: забезпечувальні активи залишилися неушкодженими
Після оприлюднення інциденту Resolv Labs повідомила у соціальних мережах:
- Всі функції протоколу призупинено
- Пул забезпечувальних активів залишився неушкодженим
- Проблема стосується лише процесу емісії USR
(Джерело: ResolvLabs)
Аналітики зазначили, що хоча забезпечення не було безпосередньо викрадено, ринкові втрати залишаються значними.
Недостатні механізми дозволів і перевірки
Блокчейн-аналітик Andrew Hong визначив основну проблему у використанні облікового запису SERVICE_ROLE для обробки swap-запитів, який контролювався звичайним EOA-гаманцем замість мультипідпису.
Контракт емісії також не мав кількох критичних захисних механізмів:
- Відсутність перевірки ціни через оракл
- Відсутність обмеження на обсяг емісії
- Відсутність перевірки запитів на емісію або обсягів виконання
DeFi-інвесткомпанія D2 Finance окреслила три можливі причини:
- Маніпуляція ціновим ораклом
- Компрометація офлайн-акаунта підпису
- Відсутність механізму перевірки обсягу емісії
(Джерело: D2_Finance)
Наслідки для DeFi-екосистеми
Крах USR вплинув не лише на власників токенів, а й на ринок DeFi-кредитування. USR і його застейкана версія wstUSR використовувалися як забезпечення на платформах Morpho та Gauntlet.
Деякі трейдери скористалися падінням USR нижче 1 долара:
- Купували USR зі знижкою
- Використовували його як забезпечення за системною оцінкою 1 долар
- Брали позику у USDC
Це могло швидко вичерпати ліквідність кредитних пулів.
Страховий пул і шар ліквідності також під загрозою
Механізм захисту ліквідності Resolv — Resolv Liquidity Pool (RLP) — створений для поглинання збитків і захисту USR. Перед атакою обсяг обігу RLP був близько 38,6 мільйона доларів, а найбільшим власником залишався дохідний протокол Stream Finance. Stream Finance раніше зазнав втрат на 93 мільйони доларів через привласнення активів у 2025 році і тепер знову піддається ризику.
Посилення регуляторного тиску
Цей інцидент збігся з обговоренням у Конгресі США регулювання стейблкоїнів, зокрема закону GENIUS, який спрямований на регулювання дохідних стейблкоїнів. Американська банківська асоціація попередила, що такі продукти можуть відтягнути депозити від традиційних банків.
Висновок
Інцидент із Resolv USR показує, що ризики стейблкоїнів виникають не лише через забезпечувальні активи, а й через недоліки в дизайні контрактів і управлінні дозволами. Навіть якщо базові активи залишаються неушкодженими, неконтрольована емісія та втрата довіри ринку можуть призвести до значних збитків. Із розвитком DeFi-ринку критично важливо впроваджувати надійні механізми моніторингу, управління дозволами та контролю ризиків для подальшої еволюції стейблкоїнів і фінансів на блокчейні.
