#ResolvLabsHitByExploitAttack

Сектор DeFi знову був потрясений серйозною невдачею в безпеці, оскільки Resolv Labs став жертвою масштабної експлуатації, яка розкрила критичні слабкості не в коді смарт-контрактів, а в ширшій системній архітектурі за ним. Те, що спочатку виглядало як звичайний протокол, швидко перетворилося на багатомільйонну брешу, знищивши довіру, дестабілізувавши його стейблкойн та викликавши потрясіння на взаємопов'язаних платформах DeFi.

У центрі інциденту — нативний стейблкойн Resolv, USR, який був розроблений для утримання паритету з доларом через дельта-нейтральну стратегію. Однак атака розкрила критичний дефект: система залежала від механізму позапланового підписання, контрольованого привілейованим приватним ключем. Як тільки цей ключ був скомпрометований, зловмисник отримав можливість обійти нормальні обмеження на випуск та генерувати масивні кількості необезпечених токенів. Практично це означало, що зловмисник міг «друкувати» вартість з нічого — і саме це сталося.

Використовуючи лише відносно невелику кількість застави, зловмисник випустив приблизно 80 мільйонів токенів USR, кількість, яка була дико непропорційна до вихідної вартості. Це було можливо тому, що смарт-контракт не здійснював суворої перевірки на-ланцюзі обмежень на випуск — він просто довіряв позапланічній підписі. Це єдине рішення з приводу архітектури перетворилося на найбільшу вразливість протоколу, доповідаючи ще раз, що у DeFi безпека настільки сильна, наскільки сильна найслабша ланка — на-ланцюзі або позапланічна.

Після випуску токенів зловмисник діяв швидко та стратегічно. Необезпечений USR був перетворений на складені варіанти, потім обміняний на децентралізованих біржах на більш ліквідні та стійкі активи, такі як USDC, перш ніж остаточно бути перетвореним на Ethereum. До кінця експлуатації зловмисник витяг приблизно 23–25 мільйонів доларів вартості, демонструючи як швидкість, так і ефективність, з якою сучасні експлуатації DeFi виконуються.

Вплив на ринок був миттєвим та суворим. USR — який мав утримувати стабільний $1 паритет — різко впав, в один момент втративши 70–80% своєї вартості, фактично порушивши свою основну обіцянку як стійкого активу. Ця подія відхилення від паритету спровокувала каскадні ефекти в екосистемі DeFi, особливо в протоколах, які інтегрували USR як заставу або ліквідність. Платформи надання позик, стратегії хранилищ та системи дохідності, які покладалися на USR, раптом були виставлені перед масивними втратами, демонструючи, наскільки взаємопов'язана та крихка композиційність DeFi може бути під час кризових подій.

У відповідь Resolv Labs швидко зупинив функції випуску та викупу в спробі приховати шкоду та запобігти подальшій експлуатації. Однак до того часу дамба вже розповсюдилася на декілька шарів екосистеми, включаючи пули ліквідності та хранилища для надання позик, які продовжували працювати тимчасово навіть після початку експлуатації — посилюючи втрати через затримку часу реакції.

Те, що робить цю експлуатацію особливо важливою, це те, що це не був традиційний взлом смарт-контракту. Самі контракти функціонували як спроектовано. Замість цього, збій походив від:

Надмірної залежності від позапланічної інфраструктури
Відсутності перевірки на-ланцюзі для критичних функцій
Централізованого контролю через скомпрометований приватний ключ

Це позначає зростаючу тенденцію в експлуатаціях DeFi: у міру того, як протоколи стають складнішими та інтегрують зовнішні системи, поверхня атаки розширюється за межами коду в інфраструктуру, управління ключами та операційну безпеку.

З ширшої ринкової перспективи, цей інцидент посилює кілька ключових реальностей. По-перше, стейблкойни настільки стійкі, наскільки стійкі їх дизайн та контроль ризиків — не їхній бренд. По-друге, композиційність DeFi, хоча й потужна, створює системний ризик, де невдача одного протоколу може розповсюдитися на кілька платформ. По-третє, безпека в сучасній крипто більше не стосується лише аудитів; вона вимагає моніторингу в реальному часі, автоматичних гарантій та суворих обмежень на привілейований доступ.

З мого погляду, експлуатація Resolv — чітке нагадування про те, що наступний етап еволюції DeFi буде визначатися не лише інноваціями чи дохідністю — він буде визначатися архітектурою безпеки та мінімізацією довіри. Протоколи, які продовжують покладатися на централізовані контрольні точки, навіть опосередковано, залишатимуться вразливими незалежно від того, наскільки складною виглядає їхня логіка на-ланцюзі.

На завершення, це був не просто черговий взлом — це була невдача дизайну, розкрита під тиском. Десятки мільйонів доларів були втрачені, стейблкойн впав, і довіра до ще одної системи DeFi була знову похитнута. Але ще важливіше, це підкреслило глибший виклик: у системі, побудованій для усунення довіри, довіра все ще існує — просто в інших місцях. І зловмисники точно знають, де її шукати.