Крупный эксплойт стейблкоина Resolv USR
В воскресенье утром уязвимость в протоколе Resolv вызвала резонанс на рынке DeFi. Несколько компаний по блокчейн-безопасности подтвердили, что злоумышленник воспользовался ошибкой в контракте выпуска стейблкоина USR, создав около 80 миллионов необеспеченных токенов USR и выведя примерно $25 миллионов активов с рынка.
Атака произошла около 02:21 UTC и впервые была обнаружена мониторинговым аккаунтом YieldsAndMore, который зафиксировал необычные транзакции.
Детали атаки: малые депозиты — огромный выпуск токенов
Данные блокчейн-транзакций показывают, что злоумышленник сначала внес 100 000 USDC в контракт USR Counter протокола Resolv. Теоретически это должно было вернуть эквивалентное количество USR.
Однако результат оказался аномальным:
- Первая транзакция выпустила около 50 миллионов USR
- Вторая — еще 30 миллионов USR
Общий выпуск оказался примерно в 500 раз выше ожидаемого.
Цена USR стремительно обрушилась
USR — стейблкоин, привязанный к доллару США, который вместо фиатных резервов использует комбинацию ETH и BTC с дельта-нейтральной стратегией хеджирования. После выпуска большого объема необеспеченных токенов рыночная цена быстро вышла из-под контроля.
Реакция рынка включала:
- В пуле ликвидности Curve Finance
- Цена упала до $0,025 за 17 минут
(Источник: DEXSCREENER)
Хотя цена кратковременно восстановилась до примерно $0,85, ей не удалось вернуться к привязке $1.
Перемещения средств злоумышленника
Адрес злоумышленника, начинающийся с 0x04A2, провел серию арбитражных операций:
- Обменял выпущенные USR на USDC и USDT
- Продал эти активы на нескольких децентрализованных биржах
- В итоге конвертировал выручку в ETH
Согласно данным блокчейна:
- Основной кошелек содержит 11 409 ETH
- Стоимость — примерно $23,7 миллиона
Другой адрес хранит около $1,1 миллиона в wstUSR.
Реакция Resolv: обеспеченные активы сохранены
После инцидента Resolv Labs сообщила в социальных сетях:
- Все функции протокола приостановлены
- Пул обеспеченных активов остается целым
- Проблема ограничена процессом выпуска USR
(Источник: ResolvLabs)
Аналитики отмечают, что хотя обеспеченные активы не были похищены напрямую, рыночные потери значительны.
Недостаточные механизмы разрешений и проверки
Аналитик блокчейна Andrew Hong указал на основную проблему: аккаунт SERVICE_ROLE, который обрабатывает запросы обмена, контролируется обычным EOA-кошельком, а не мультисиг-кошельком.
Контракт выпуска не содержал важных защитных механизмов:
- Нет проверки цены через оракл
- Нет ограничения на количество выпускаемых токенов
- Нет проверки запросов на выпуск и сумм исполнения
DeFi-инвестфирма D2 Finance выделила три возможные причины:
- Манипуляция ценовым ораклом
- Компрометация офлайн-аккаунта для подписи
- Отсутствие механизма проверки суммы выпуска
(Источник: D2_Finance)
Эффект на экосистему DeFi
Крах USR затронул не только держателей токенов, но и рынок кредитования DeFi. USR и его стейк-версия wstUSR использовались как обеспечение на платформах Morpho и Gauntlet.
Некоторые трейдеры воспользовались падением цены USR ниже $1:
- Купили USR со скидкой
- Использовали его как обеспечение по фиксированной оценке $1 в системе
- Заняли USDC
Это способно быстро истощить ликвидность кредитных пулов.
Под угрозой страховой пул и слой ликвидности
Механизм защиты ликвидности Resolv, Resolv Liquidity Pool (RLP), предназначен для поглощения убытков и защиты USR. До атаки циркулирующая стоимость RLP составляла около $38,6 миллиона, крупнейшим держателем был протокол доходности Stream Finance. Stream Finance ранее потерял $93 миллиона из-за неправомерного использования активов в 2025 году и теперь снова сталкивается с риском.
Усиливается регуляторное давление
Инцидент совпал с обсуждением в Конгрессе США регулирования стейблкоинов, включая закон GENIUS Act, который направлен на регулирование доходных стейблкоинов. Американская ассоциация банкиров предупредила, что такие продукты могут отвлекать депозиты от традиционных банков.
Заключение
Инцидент с Resolv USR подчеркивает, что риски стейблкоинов связаны не только с обеспеченными активами, но и с ошибками в дизайне контрактов и управлении разрешениями. Даже если базовые активы остаются нетронутыми, неконтролируемое расширение предложения и потеря доверия рынка способны вызвать значительные убытки. По мере роста рынка DeFi создание надежных систем мониторинга, управления разрешениями и контроля рисков становится необходимым для развития стейблкоинов и финансовых инструментов на блокчейне.
