Стейблкоїн USR різко впав і розв'язався! Resolv розкрив «вразливість при мінтингу» та хакери викрали 25 мільйонів доларів

Згідно з доповідями кількох провідних служб безпеки блокчейну, у неділю протокол DeFi Resolv зазнав уразливості. Хакери з мінімальними затратами створили 80 мільйонів незастрахованих стабільних монет USR, швидко продавши їх і отримавши близько 25 мільйонів доларів США. Це не лише спричинило різке розхитування курсу USR, а й викликало ланцюгову реакцію на ринку кредитування. Ця атака сталася приблизно о 10:21 ранку 22 березня. Дані з блокчейну показують, що хакери спочатку внесли 100 000 USDC до смарт-контракту Resolv, але отримали у відповідь до 50 мільйонів USR — у 500 разів більше за нормальний обмінний курс. Потім, відчувши слабкість, вони додатково створили ще 30 мільйонів USR через другий транзакцій.

USR від @ResolvLabs торгується по одній центовій ціні, хтось створив 50 мільйонів USR за 100 тисяч USDChttps://t.co/qc8gTLDx7w pic.twitter.com/fXtjZgxzQk

— YAM 🌱 (@yieldsandmore) 22 березня 2026

Як стабільна монета, яка заявляє про прив’язку до долара США 1:1, USR не покладається на традиційні валютні резерви. Замість цього її цінність підтримується за допомогою стратегій хеджування «Delta-neutral» (збалансованих позицій для усунення цінових коливань) на основі Ethereum і Bitcoin. За даними DEX Screener, після створення перших токенів, USR у найглибшому пулі ліквідності Curve Finance за 17 хвилин впав до 0,025 долара. Хоча згодом ціна частково відновилася до близько 0,85 долара, на момент написання статті вона ще не повернулася до прив’язки в 1 долар. Хакери майстерно відмивають гроші, офіційні особи стверджують, що «пул забезпечення цілісний» Після здобуття коштів, хакери (адреса гаманця починається з 0x04A2) швидко обміняли створені USR на USDC і USDT на децентралізованих біржах, а потім повністю конвертували їх у Ethereum. Дані з блокчейну показують, що їхній гаманець вже містить понад 11 409 ETH (близько 23,7 мільйонів доларів). Після розголосу інциденту, Resolv Labs опублікувала заяву на платформі X, в якій повідомила, що всі функції протоколу тимчасово призупинені. Вони запевнили, що «пул забезпечення цілісний», жодних активів не втрачено, і цей випадок — «просто вразливість у механізмі випуску USR». Ми наразі розслідуємо інцидент, пов’язаний з несанкціонованим створенням USR.

На цьому етапі:

Пул забезпечення залишається цілісним. Втрата активів не зафіксована.

Проблема, здається, обмежена механізмом випуску USR.

Наші пріоритети:

1)…

— Resolv Labs (@ResolvLabs) 22 березня 2026

Контроль доступу фактично відсутній Хоча офіційні особи намагаються зменшити значення події, експерти з безпеки не погоджуються. Аналітик блокчейну Andrew Hong зазначив, що уразливість виникла через привілейований обліковий запис «SERVICE_ROLE», який відповідає за обробку запитів на обмін. Вражає те, що цим ключовим доступом керує звичайний зовнішній гаманець (EOA), а не більш безпечний мульти-підписаний обліковий запис. Ще гірше, що контракт створення токенів не має механізмів перевірки цін через оракул, контролю кількості або встановлених лімітів на емісію. Інвестиційний фонд DeFi D2 Finance назвав три можливі причини: зловмисне маніпулювання оракулом, злом підписувача поза ланцюгом або відсутність перевірки суми між запитом на емісію та її виконанням. Першим, хто викрив цю ситуацію, був YieldsAndMore, який висловив здивування, що протокол Resolv із значним обсягом капіталу має таку відсутність базових заходів безпеки. Генеральний директор компанії з безпеки блокчейну Cyvers Deddy Lavid зазначив: «Саме тут проявляється справжній ризик стабільних монет. Регулярні аудити контрактів — це далеко не все. Без моніторингу емісії та пропозиції токенів у реальному часі команда залишається беззахисною, коли настає криза.» Несподівана катастрофа! Невидима інфляція грабує інвесторів, ланцюгова реакція вдаряє по ринку кредитування Хоча офіційна позиція Resolv про «цілісність пулу забезпечення» технічно підтверджена, ця заява недооцінює масштаб шкоди. Аналіз блокчейну показує, що атака не була прямим «злочином із крадіжкою з сейфу», а скоріше — прихованою «інфляцією пропозиції». 80 мільйонів нових токенів з’явилися з нічого, що миттєво розбавило їхню цінність у обігу. Водночас, продажі хакерів знизили ліквідність пулу, що ще більше посилило проблему. Це означає, що інвестори, які володіли USR у момент атаки, втратили значну частину своїх активів миттєво. Ця криза швидко поширилася на інші платформи кредитування DeFi. Оскільки USR і похідні токени були прийняті як застави на багатьох платформах (наприклад, Morpho, Gauntlet), спекулянти почали купувати USR за низькими цінами, а потім використовували їх у системах кредитування, де ціна фіксована в 1 USR = 1 долар. Це дозволило їм позичати великі суми USDC, фактично «захоплюючи» ліквідність кредитних фондів. Така стратегія «порожнього» заробітку без вкладень зірвала ліквідність у системі. Раніше залучали мільйони та проходили 14 топових аудитів, тепер — втрачають довіру До моменту нападу, обсяг капіталу протоколу Resolv вже зменшувався. Вартість USR з початку лютого цього року зросла до піку у 400 мільйонів доларів і поступово знизилася до приблизно 100 мільйонів перед інцидентом.