Зловмисник о 2:21 за всесвітнім координованим часом (UTC) у неділю використав уразливість контролю доступу в контракті емісії USR протоколу стабільної монети Resolv, щоб згенерувати понад 80 мільйонів беззаставних токенів, витративши приблизно 200 000 доларів США в USDC, і викрав близько 25 мільйонів доларів через обмін на біржах. Після цього USR різко впав до 0,025 долара на основному пулі ліквідності Curve Finance.
Механізм атаки: як було використано контракт емісії
(джерело: Etherscan)
Ранньою зафіксованою транзакцією є запис аккаунта YieldsAndMore: зловмисник вніс 100 000 USDC у контрагент USR у Resolv, отримавши натомість 50 мільйонів USR — що приблизно у 500 разів більше за нормальну кількість; потім у другій транзакції було додатково згенеровано ще 30 мільйонів USR, загалом близько 80 мільйонів.
Аналітик з блокчейну Ендрю Хон вказує, що корінь уразливості — у привілейованій ролі SERVICE_ROLE у протоколі. Ця роль використовується для виконання запитів обміну, але контролюється звичайним зовнішнім аккаунтом (EOA), а не більш безпечним мультипідписним механізмом. Крім того, контракт емісії повністю позбавлений перевірки цін через оракл, обмежень кількості та лімітів емісії.
DeFi-фонд D2 Finance пропонує три можливі шляхи атаки: підміну даних оракл, злом підписувача поза ланцюгом або відсутність перевірки кількості між запитом емісії та його виконанням.
Вплив на ринок: поширення втрати прив’язки у DeFi кредитних екосистемах
(джерело: Trading View)
Після завершення емісії через 17 хвилин USR різко впав до 0,025 долара у пулі Curve, потім піднявся до приблизно 0,85 долара, але ще не відновив повну прив’язку. Основний адрес зловмисника (починається з 0x04A2) у підсумку володіє 11 409 ETH (приблизно 23,7 мільйонів доларів), ще один пов’язаний адрес має близько 1,1 мільйона доларів у токенах wstUSR.
Ланцюгова реакція втрати прив’язки USR
Проблеми ліквідності платформ позик: USR і wstUSR використовуються як застави у Morpho та Gauntlet. Після втрати прив’язки деякі спекулянти купують USR із дисконтом і видають USDC за номіналом, що прискорює виснаження ліквідності сейфів.
Тиск на страховий шар RLP: як механізм поглинання збитків, пул ліквідності Resolv (RLP) перед атакою обертав близько 38,6 мільйонів доларів. Найбільший власник — Stream Finance — має 13,6 мільйонів RLP у Morpho, з чистим ризиком близько 17 мільйонів доларів.
Зниження вартості керуючого токена RESOLV: унаслідок події ціна RESOLV за 24 години знизилася приблизно на 8,5%.
Хоча Resolv Labs заявляє, що заставний пул «повністю цілісний», аналітики вказують, що атака була зумовлена розширенням пропозиції, а не прямим крадіжкою застав. 80 мільйонів нових токенів розбавили існуючий обіг, а продажі з боку зловмисника знищили ліквідність. Власники USR під час атаки зазнали реальних збитків.
Обмеження аудиту безпеки та взаємодія з регуляторною політикою
Генеральний директор Cyvers Дедді Лавід зазначає: «Досить лише аудиту — цього недостатньо. Без моніторингу емісії та пропозиції в реальному часі, у найважливіший момент ти будеш сліпим». Офіційний сайт Resolv стверджує, що пройшов аудит п’ятьма організаціями, що включає 14 перевірок, і запустив програму винагород за вразливості Immunefi з фондом у 500 000 доларів.
Подія сталася в чутливий час. Законодавчі органи США активно просувають регулювання стабільних монет з доходом відповідно до закону «GENIUS», і кілька ключових сенаторів ще за день до атаки досягли принципової згоди щодо способів регулювання таких активів. За даними останнього звіту Immunefi, середня втрата у криптоатаках у 2026 році становить близько 25 мільйонів доларів, і сума цієї події відповідає середньому рівню галузі.
Поширені запитання
Що таке USR і чому вона втратила прив’язку?
USR — це стабільна монета, прив’язана до долара, випущена Resolv Labs. Вона використовує дельта-нейтральну хедж-стратегію з підтримкою ETH і BTC. Втрату прив’язки спричинила не нестача застави, а використання уразливості для створення великої кількості беззаставних токенів і їх масового продажу на ринку, що спричинило миттєвий крах основного пулу ліквідності.
Які основні технічні уразливості атаки?
Головна уразливість — у тому, що привілейована роль SERVICE_ROLE контролюється звичайним EOA, а контракт емісії позбавлений перевірки цін через оракл, обмежень кількості та лімітів емісії. Це дозволило зловмиснику з 200 000 доларів USDC створити у 500 разів більше USR.
Які реальні ризики для власників USR?
Зловмисник масово продає беззаставний USR, руйнуючи ліквідність. Власники USR під час атаки зазнали миттєвих втрат у ринковій цінності. Крім того, wstUSR використовується як застава у кількох DeFi платформах, і втрати прив’язки додатково впливають на ліквідність відповідних сейфів.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
