रिज़ॉल्व का USR स्टेबलकॉइन एक हैकर द्वारा 80M अपृष्ठित टोकन जारी करने और $25M ETH चुराए जाने के बाद अपने मूल्य से अलग हो गया

क्रिप्टोकरेंसी बाजार में, स्थिर मुद्राएँ पारंपरिक वित्त और वेब3 दुनिया के बीच एक "पुल" के रूप में मानी जाती हैं, जिनकी स्थिरता और सुरक्षा अत्यंत महत्वपूर्ण है। हालाँकि, हाल ही में Resolv के USR स्थिर मुद्रा पर हुए हमले ने DeFi सुरक्षा के लिए फिर से चेतावनी भरी घंटी बजा दी। 22 मार्च, 2025 को, हमलावरों ने Resolv के USR मिंटिंग कॉन्ट्रैक्ट में एक दुर्बलता का दुरुपयोग करते हुए लगभग 80 मिलियन असुरक्षित टोकन बनाए और लगभग 25 मिलियन डॉलर का ETH चुरा लिया। इस हमले के कारण USR, Curve पर 0.025 डॉलर तक गिर गया, जिसके बाद कीमत 0.85 डॉलर के आसपास वापस आई, लेकिन इसका डॉलर के साथ प्रतिबद्धता अभी तक पुनः स्थापित नहीं हुआ है। यह हमला केवल USR स्थिर मुद्रा को सोने के साथ इसके प्रतिबद्धता से अलग करने तक सीमित ही नहीं रहा, बल्कि जटिल DeFi प्रोटोकॉल की संभावित कमजोरियों को प्रकट करता है, साथ ही नियामक रिक्तता के तहत, उच्च आय वाली स्थिर मुद्राओं के साथ जुड़े विशाल जोखिमों को।

कई ब्लॉकचेन सुरक्षा कंपनियों के अनुसार, रविवार को एक हमलावर ने Resolv के USR स्थिर मूल्य वाले मुद्रा निर्माण समझौते में एक दुर्बलता का दुरुपयोग करते हुए लगभग 8 करोड़ बिना गारंटी वाले टोकन बनाए और लगभग 25 मिलियन डॉलर चुरा लिए।

आक्रमण विधि: आक्रमण लगभग यूटीसी सुबह 2:21 बजे शुरू हुआ। X खाता YieldsAndMore ने सबसे पहले इस घटना की खोज की और Etherscan लेन-देन के डेटा को पोस्ट किया, जिसमें दिखाया गया कि हमलावर ने Resolv के USR Counter कॉन्ट्रैक्ट में 100,000 USDC जमा किए और 50 करोड़ USR प्राप्त किए, जो अपेक्षित मात्रा के लगभग 500 गुना है। इसके बाद, हमलावर ने दूसरे लेन-देन के माध्यम से अतिरिक्त 30 मिलियन USR मिंट किए।

USR अनुबंधित होकर गिरावट: USR एक डॉलर के साथ जुड़ी स्थिर मुद्रा है, जो डेल्टा-न्यूट्रल हेजिंग रणनीति का उपयोग करती है और मुद्रा भंडार के बजाय ETH और BTC से समर्थित है। DEX Screener के डेटा के अनुसार, इस टोकन ने पहली बार निर्मित होने के 17 मिनट बाद अपने सबसे अधिक तरलता वाले Curve Finance पूल में 0.025 डॉलर तक गिरावट दर्ज की। इसके बाद कीमत 0.85 डॉलर के आसपास बढ़ गई, लेकिन सोमवार सुबह तक, इसका डॉलर के साथ अनुबंध अभी तक पुनः स्थापित नहीं हुआ है।

चोरी हुए संपत्ति: हमलावर ने 0x04A2 से शुरू होने वाले पते का उपयोग करके डीसेंट्रलाइज्ड एक्सचेंज पर बनाए गए USR को USDC और USDT में बदला, और फिर प्राप्त राशि को ETH में बदल दिया। ब्लॉकचेन डेटा के अनुसार, प्रकाशन के समय, हमलावर के वॉलेट पते में 11,409 ETH, लगभग 2370 डॉलर के मूल्य के साथ, हैं। एक अन्य पुष्टि किए गए हमलावर के वॉलेट पते में लगभग 110 डॉलर के मूल्य के wstUSR टोकन हैं।

Resolv Labs का जवाब: Resolv Labs ने X के बारे में एक बयान में कहा कि उन्होंने सभी प्रोटोकॉल कार्यों को निलंबित कर दिया है, और उनका जमाखाना "पूरी तरह सुरक्षित" है, "बुनियादी संपत्ति का कोई नुकसान नहीं हुआ है।" टीम ने इस समस्या को "केवल USR जारीकरण तंत्र सीमित" बताया है।

विश्लेषकों ने पाया कि यह दोष एक विशेषाधिकार धातु मुद्रण भूमिका से उत्पन्न हुआ, जिसे बाहरी स्वामित्व वाले खाते नियंत्रित करते हैं, जिसमें कोई मुद्रण सीमा या ऑरेकल जांच नहीं है।

कमजोर एक्सेस कंट्रोल: लेख-विश्लेषक एंड्रू हॉंग ने इस सुरक्षा दुर्बलता को प्रोटोकॉल के SERVICE_ROLE भूमिका के कारण बताया, जो विनिमय अनुरोध पूरा करने के लिए एक विशेषाधिकार वाला खाता है। यह भूमिका एक मल्टी-सिग्नेचर खाते के बजाय एक मानक बाहरी खाते (EOA) द्वारा नियंत्रित है। इसके अलावा, मिंट कॉन्ट्रैक्ट में ऑरेकल जांच, मात्रा सत्यापन और अधिकतम मिंट सीमा की कमी है।

निरीक्षण और निगरानी की कमी: DeFi फंड D2 Finance ने तीन संभावित व्याख्याएँ दी हैं: ओरेकल का दुरुपयोग, ऑफ-चेन हस्ताक्षरकर्ताओं का हैक होना, या मुद्रण अनुरोध और पूर्ति के बीच राशि की जाँच का अभाव। YieldsAndMore भी इस विश्लेषण से सहमत है और बताता है कि Resolv प्रोटोकॉल के प्रबंधन तंत्र में उसके पैमाने के अनुरूप सुरक्षा उपायों की कमी है। "केवल ऑडिट पर निर्भर रहना पर्याप्त नहीं है, अगर आप मुद्रण और आपूर्ति की वास्तविक समय निगरानी नहीं करते, तो सबसे महत्वपूर्ण पल में आप अंधे होंगे," Cyvers के सीईओ Deddy Lavid ने The Block को बताया।

हालांकि रेसोल्व द्वारा अपने जमा पूल के "पूरी तरह से अखंड" होने का दावा तकनीकी रूप से सही है, लेकिन यह नुकसान को कम दर्शाता है।

सप्लाई इन्फ्लेशन: जैसा कि लेख-ऑन विश्लेषकों ने बताया, इस हमले का रूप सप्लाई इन्फ्लेशन था, न कि सीधे जमानती संपत्ति का चोरी करना। नए 80 मिलियन टोकनों ने मौजूदा सप्लाई को घटा दिया, और हमलावरों की बिक्री ने जमानती पूल की तरलता को पूरी तरह से नष्ट कर दिया। उस समय कोई भी USR धारक तुरंत नुकसान का शिकार हो गया।

डीफाई उधार बाजार पर प्रभाव: अनकपलिंग प्रभाव डीफाई उधार बाजार पर भी फैल गया। USR और उसके क्वैस्ट डेरिवेटिव wstUSR को Morpho और Gauntlet जैसे प्लेटफॉर्म्स द्वारा सुरक्षा के रूप में स्वीकार किया गया है। कुछ व्यापारी संभवतः USR को छूट के मूल्य पर खरीदकर USDC को 1 डॉलर के स्थिर मूल्यांकन के साथ उधार ले रहे हैं, जिससे इन कोशिकाओं में स्थिरता की तरलता समाप्त हो गई। D2 Finance ने बताया कि Gauntlet द्वारा प्रबंधित Morpho प्लेटफॉर्म पर कोशिकाएं भी प्रभावित हुई हैं।

सेकेंडरी शेयर्स और चेन रिएक्शन: नुकसान Resolv के सेकेंडरी शेयर्स तक भी फैल सकता है। Resolv लिक्विडिटी पूल (RLP) एक बीमा मैकेनिज्म के रूप में कार्य करता है, जो USR होल्डर्स की सुरक्षा के लिए नुकसान को अवशोषित करता है, और दुर्घटना से पहले की कीमत पर इसका परिसंचरण धन लगभग 38.6 मिलियन डॉलर है। YieldsAndMore के अनुसार, Stream के पास Morpho में 13.6 मिलियन RLP पोजीशन है, जिसका शुद्ध एक्सपोजर लगभग 17 मिलियन डॉलर है, जिसका अर्थ है कि उसके जमाकर्ता एक और बड़े नुकसान का सामना कर सकते हैं।

मार्केट कैप में भारी गिरावट: CoinMarketCap के डेटा के अनुसार, USR का मार्केट कैप फरवरी के शुरू में लगभग 4 अरब डॉलर से घटकर हमले से पहले लगभग 1 अरब डॉलर हो गया। इस हमले के प्रभाव से, RESOLV गवर्नेंस टोकन की कीमत पिछले 24 घंटों में लगभग 8.5% गिर गई।

चार, रेसोल्व का पृष्ठभूमि और DeFi हैकिंग की सामान्यता

Resolv ने अप्रैल 2025 में 1000 डॉलर की बीज फंडिंग पूरी की, जिसमें Cyber.Fund और Maven11 ने नेतृत्व किया, Coinbase Ventures, Arrington Capital और Animoca Ventures ने निवेश किया, और Delphi Labs ने इसे इंक्यूबेट किया।

ऑडिट और वल्नरेबिलिटी बोनस: Resolv की वेबसाइट दावा करती है कि उसने पांच कंपनियों के लिए 14 ऑडिट प्रोजेक्ट पूरे किए हैं, और 500,000 डॉलर का Immunefi वल्नरेबिलिटी बोनस प्रोग्राम स्थापित किया है, साथ ही निरंतर स्मार्ट कॉन्ट्रैक्ट मॉनिटरिंग सेवा प्रदान करती है।

डीफाई हैकिंग ट्रेंड: इस दुरुपयोग की घटना ने 2026 में डीफाई हैकिंग की संख्या को आगे बढ़ाया है। रेसोल्व घटना 2026 की शुरुआत में हुई क्रिप्टोकरेंसी हमलों की श्रृंखला में सबसे नवीनतम है। इस वर्ष जनवरी में, ट्रूबिट ने पांच साल पहले डिप्लॉय किए गए स्मार्ट कॉन्ट्रैक्ट के दुरुपयोग के कारण 26.6 मिलियन डॉलर का नुकसान उठाया। उसी महीने, माकिना फाइनेंस की स्थिर मुद्रा पूल भी आक्रमणकारियों द्वारा लाइटनिंग लोन का उपयोग करके प्रोटोकॉल के ऑरेकल को मैनिपुलेट करने के कारण लगभग 5 मिलियन डॉलर का नुकसान हुआ। इम्यूनेफी ने पिछले सप्ताह जारी एक रिपोर्ट में बताया कि क्रिप्टोकरेंसी हैकिंग का औसत नुकसान अभी लगभग 25 मिलियन डॉलर है, और 2024-2025 के बीच सभी चोरी हुई राशि का 62% पांच सबसे बड़े हमलों में से है।

नीतिगत दृष्टिकोण से, समय भी काफी दिलचस्प है, क्योंकि अमेरिकी विधायक आय आधारित स्थिरांक के नियमन के लिए GENIUS अधिनियम के अनुसार सक्रिय रूप से चर्चा कर रहे हैं।

बैंक जमा का नुकसान का खतरा: अमेरिकी बैंकर संघ ने चेतावनी दी है कि ऐसे उत्पाद पारंपरिक बैंकों से जमा को स्थानांतरित कर सकते हैं।

Regulatory consensus: Several key senators reached a "principle agreement" last Friday on how to handle stablecoin yields.

निष्कर्ष:

आक्रमणकारियों द्वारा 80 मिलियन असुरक्षित टोकन जारी करने और लगभग 25 मिलियन डॉलर चुराए जाने के बाद, Resolv का USR स्थिर मुद्रा स्वर्ण से जुड़ाव खो चुका है, जिससे DeFi सुरक्षा के लिए फिर से चेतावनी बजी है। यह घटना केवल उच्च लाभ वाले स्थिर मुद्राओं में जटिल कॉन्ट्रैक्ट डिज़ाइन, एक्सेस कंट्रोल और ऑडिट के संभावित दुर्बलताओं को ही नहीं, बल्कि DeFi पारिस्थितिकी के पूरे विश्वास प्रणाली को भी कठोर परीक्षा के लिए उपस्थित करती है।