coin-img-ETHETH+2.75%coin-img-BTCBTC+2.52%coin-img-SOLSOL+3.16%coin-img-BPBP+137.30%coin-img-AGQAGQ-82.42%coin-img-LUCKLUCK-65.07%coin-img-AITOAITO-47.34%coin-img-XRPXRP+3.31%coin-img-ETHETH+2.75%coin-img-BTCBTC+2.52%coin-img-SOLSOL+3.16%coin-img-BPBP+137.30%coin-img-AGQAGQ-82.42%coin-img-LUCKLUCK-65.07%coin-img-AITOAITO-47.34%coin-img-XRPXRP+3.31%coin-img-ETHETH+2.75%coin-img-BTCBTC+2.52%coin-img-SOLSOL+3.16%coin-img-BPBP+137.30%coin-img-AGQAGQ-82.42%coin-img-LUCKLUCK-65.07%coin-img-AITOAITO-47.34%coin-img-XRPXRP+3.31%coin-img-ETHETH+2.75%coin-img-BTCBTC+2.52%coin-img-SOLSOL+3.16%coin-img-BPBP+137.30%coin-img-AGQAGQ-82.42%coin-img-LUCKLUCK-65.07%coin-img-AITOAITO-47.34%coin-img-XRPXRP+3.31%

Стейблкоин USR от Resolv потерял привязку после взлома: хакер выпустил 80 млн необеспеченных токенов и вывел ETH на $25 млн

Стейблкоины в крипторынке давно стали "мостом" между традиционными финансами и Web3, поэтому их устойчивость и безопасность критически важны. Атака на USR от Resolv вновь поставила под удар доверие к DeFi: 22 марта 2025 года злоумышленники нашли уязвимость в контракте эмиссии USR, выпустили около 80 млн необеспеченных токенов и вывели порядка $25 млн в ETH. На фоне распродажи USR в пуле Curve падал до $0,025, затем отскочил примерно к $0,85, но привязка к доллару на тот момент не восстановилась. I. Что произошло: эмиссия 80 млн USR и кража ETH на $25 млн По данным нескольких компаний по блокчейн-безопасности, в воскресенье атакующий воспользовался уязвимостью в minting-контракте Resolv и создал около 80 млн "несубсидированных" (необеспеченных) USR, после чего конвертировал добычу в криптоактивы на сумму около $25 млн. Как прошла атака Атака началась примерно в 02:21 UTC. Аккаунт X YieldsAndMore первым обратил внимание на инцидент и опубликовал данные транзакций Etherscan: атакующий внёс 100 000 USDC в контракт Resolv's USR Counter и получил 50 млн USR — примерно в 500 раз больше ожидаемого. Затем второй транзакцией было отчеканено ещё 30 млн USR. Обвал курса и потеря привязки USR позиционируется как долларовый стейблкоин с дельта-нейтральным хеджированием и обеспечением в ETH и BTC, а не фиатными резервами. Согласно DEX Screener, в самом ликвидном пуле Curve Finance токен рухнул до $0,025 в течение 17 минут после первоначальной эмиссии. Позднее цена восстановилась примерно до $0,85, но к утру воскресенья привязка к $1 оставалась нарушенной. Куда ушли средства Адрес атакующего, начинающийся с 0x04A2, обменял отчеканенные USR на USDC и USDT на DEX, затем конвертировал выручку в ETH. По данным блокчейна на момент публикации, на кошельке злоумышленника находится 11 409 ETH стоимостью около $23,7 млн. Ещё один подтверждённый кошелёк атакующего держит токены wstUSR примерно на $1,1 млн. Позиция Resolv Labs В сообщении в X Resolv Labs заявила о приостановке всех функций протокола и подчеркнула, что пул обеспечения "полностью цел" и "потерь базовых активов нет". Команда уточнила, что проблема "ограничена механизмом выпуска USR". II. Причины уязвимости: привилегированная роль минтинга и слабый контроль доступа Аналитики указывают, что корень проблемы — привилегированная роль для эмиссии, которой управлял внешний аккаунт (EOA) без лимитов и без проверок по оракулу. Слабая модель прав Ончейн-аналитик Andrew Hong связал уязвимость с SERVICE_ROLE — привилегированной учётной записью, используемой для исполнения заявок на своп. Роль контролировалась обычным EOA, а не мультиподписью. При этом в контракте отсутствовали проверки оракула, валидация объёмов и верхние пределы на выпуск. Недостаток аудита и мониторинга DeFi-фонд D2 Finance назвал три вероятных сценария: манипуляция оракулом, компрометация off-chain подписантов или отсутствие проверки соответствия объёмов между запросом на выпуск и его исполнением. YieldsAndMore поддержал выводы, отметив, что механизмы управления Resolv не были усилены мерами безопасности, адекватными масштабу протокола. CEO Cyvers Deddy Lavid в комментарии The Block подчеркнул: "Полагаться только на аудиты недостаточно — если вы не мониторите выпуск и предложение в реальном времени, вы слепы в самый критический момент". III. Потери держателей USR: размывание предложения и высыхание ликвидности Заявление Resolv о сохранности пула обеспечения может быть формально верным, но не отражает экономический ущерб. Инфляция предложения По оценкам ончейн-аналитиков, атака была не кражей обеспечения напрямую, а инфляцией предложения: выпуск дополнительных 80 млн токенов размыл долю существующих держателей, а распродажа атакующим фактически "вынесла" ликвидность. Владельцы USR в момент атаки понесли немедленные потери. Эффект на рынки DeFi-кредитования Депег затронул и кредитные протоколы: USR и стейкинговый дериватив wstUSR принимались в качестве залога на платформах вроде Morpho и Gauntlet. Часть трейдеров могла покупать USR с дисконтом и занимать USDC, оценённый по фиксированному $1, что приводило к оттоку стейблкоин-ликвидности из хранилищ. D2 Finance указал, что пострадали и vault'ы на Morpho под управлением Gauntlet. Субординированные доли и вторичный ущерб Риски касаются и субординированных долей. Resolv Liquidity Pool (RLP), выполняющий роль страховочного слоя для защиты держателей USR, до эксплойта имел в обращении около $38,6 млн по цене до атаки. По данным YieldsAndMore, Stream держит 13,6 млн долей RLP с чистой экспозицией около $17 млн, а значит, вкладчики могут столкнуться с дополнительными потерями. Сокращение капитализации CoinMarketCap оценивает, что капитализация USR снизилась примерно с $400 млн в начале февраля до около $100 млн перед атакой. На фоне инцидента токен управления RESOLV за последние 24 часа подешевел примерно на 8,5%. IV. Контекст: Resolv и волна взломов в DeFi Resolv привлёк $10 млн в seed-раунде в апреле 2025 года. Раунд возглавили Cyber.Fund и Maven11, участвовали Coinbase Ventures, Arrington Capital и Animoca Ventures; проект инкубировался Delphi Labs. Аудиты и bug bounty На сайте Resolv указано, что команда завершила 14 аудиторских проектов для пяти компаний, запустила bug bounty на Immunefi объёмом $500 000 и использует постоянный мониторинг смарт-контрактов. Тренд на атаки Инцидент с Resolv пополнил статистику взломов DeFi в 2026 году и стал очередным случаем в серии атак начала 2026-го. В январе Truebit потерял $26,6 млн из-за уязвимости в смарт-контракте, развернутом пять лет назад. В том же месяце пул стейблкоина Makina Finance лишился около $5 млн после манипуляции оракулом через flash loans. В отчёте Immunefi, опубликованном на прошлой неделе, средний ущерб от криптовзлома сейчас оценивается примерно в $25 млн; пять крупнейших атак в 2024–2025 годах дали 62% всех похищенных средств. V. Регуляторный фон: риски доходных стейблкоинов События совпали по времени с обсуждением в США правил для доходных (yield-bearing) стейблкоинов в рамках законопроекта GENIUS Act. American Bankers Association предупреждала, что такие продукты способны оттянуть депозиты из банковской системы. В прошлую пятницу ряд ключевых сенаторов сообщил о "принципиальном согласии" по подходу к доходности стейблкоинов. Итог USR от Resolv отклонился от привязки после того, как злоумышленник выпустил 80 млн необеспеченных токенов и вывел около $25 млн, вновь подчеркнув уязвимость сложных DeFi-конструкций. Инцидент высветил слабые места в контроле доступа, дизайне контрактов, аудите и мониторинге, а также усилил вопросы к рискам высокодоходных стейблкоинов в условиях ограниченного регулирования.
Выбрано
ETH
ETH+2.80%
BTC
BTC+2.56%
Отказ от ответственности: приведенный выше контент является лишь мнением автора и не отражает позицию BingX. Он не должен рассматриваться как инвестиционный совет от BingX. Для получения более подробной информации ознакомьтесь с Условиями и положениями.