На криптовалютном рынке стабильные монеты считаются «мостом», соединяющим традиционные финансы и мир Web3, и их стабильность и безопасность имеют решающее значение. Однако недавнее нападение на стабильную монету USR проекта Resolv вновь напомнило о рисках безопасности в DeFi. 22 марта 2025 года злоумышленники воспользовались уязвимостью в контракте чеканки USR от Resolv, чтобы создать около 80 миллионов неколлатерализованных токенов и украсть около 25 миллионов долларов США в ETH. Это нападение привело к резкому падению цены USR на Curve до 0,025 доллара, после чего цена частично восстановилась до примерно 0,85 доллара, однако привязка к доллару пока не восстановлена. Это нападение не только оторвало стабильную монету USR от золотого якоря, но и выявило потенциальную уязвимость сложных DeFi-протоколов, а также огромные риски, связанные с высокодоходными стабильными монетами в условиях отсутствия регулирования.
I. Стабильная монета USR Resolv потеряла привязку: злоумышленники выпустили 80 миллионов необеспеченных токенов и похитили 25 миллионов долларов США в ETH
Согласно нескольким компаниям по блокчейн-безопасности, в воскресенье злоумышленник воспользовался уязвимостью в контракте на создание стабильной монеты USR Resolv, чтобы создать около 80 миллионов необеспеченных токенов и украсть около 25 миллионов долларов США.
Метод атаки: Атака началась примерно в 02:21 по всемирному координированному времени. Аккаунт X YieldsAndMore первым обнаружил инцидент и опубликовал данные транзакций Etherscan, показывающие, что злоумышленник внес 100 000 USDC в контрактUSR Counter Resolv и получил в обмен 50 миллионов USR — примерно в 500 раз больше ожидаемого количества. Затем злоумышленник дополнительно создал 30 миллионов USR с помощью второй транзакции.
USR отвязался от доллара и резко упал: USR — это стабильная монета, привязанная к доллару, использующая дельта-нейтральную хеджирующую стратегию и обеспеченная ETH и BTC, а не валютными резервами. Согласно данным DEX Screener, через 17 минут после первого чеканки цена токена упала до 0,025 доллара в самом ликвидном пуле Curve Finance. Позже цена восстановилась до примерно 0,85 доллара, но на утро воскресенья привязка к доллару не была восстановлена.
Украденные активы: Злоумышленник использовал адрес, начинающийся на 0x04A2, чтобы обменять смоделированные UST на USDC и USDT на децентрализованной бирже, а затем обменять полученные средства на ETH. Согласно данным блокчейна, на момент публикации этого материала кошелек злоумышленника содержит 11 409 ETH, что эквивалентно примерно 23,7 млн долларов США. Другой кошелек, идентифицированный как принадлежащий злоумышленнику, содержит токены wstUSR на сумму примерно 1,1 млн долларов США.
Ответ Resolv Labs: Resolv Labs заявила в своем заявлении по поводу X, что приостановила все функции протокола, при этом ее кредитный пул «полностью цел», «без потерь базовых активов». Команда заявила, что проблема «ограничивается механизмом выпуска USR».
II. Анализ причины уязвимости: привилегированная роль чеканки и слабый контроль доступа
Аналитики обнаружили, что уязвимость возникла из-за привилегированной роли чеканки, контролируемой внешним аккаунтом, который не имеет ограничений на чеканку или проверок оракула.
Слабый контроль доступа: аналитик блокчейна Эндрю Хонг связал эту уязвимость с ролью SERVICE_ROLE протокола — привилегированным аккаунтом, используемым для выполнения запросов на обмен. Эта роль управляется стандартным внешним аккаунтом (EOA), а не мультиподписным аккаунтом. Кроме того, контракт чеканки не содержит проверок оракула, проверки количества и лимитов максимальной чеканки.
Недостаточная аудиторская проверка и мониторинг: DeFi-фонд D2 Finance перечислил три возможных объяснения: манипуляция с оракулом, компрометация оффчейн-подписчиков или отсутствие проверки сумм между запросом на чеканку и ее завершением. YieldsAndMore также согласен с этим анализом и отметил, что управляющие механизмы протокола Resolv не обеспечивают достаточную безопасность, соответствующую их масштабу. «Одного только аудита недостаточно — если вы не мониторите чеканку и объем предложения в реальном времени, в самый критический момент вы ослепнете», — сказал генеральный директор Cyvers Дедди Лавид The Block.
Третий пункт: Владельцы USR сталкиваются с огромными убытками: инфляция предложения и истощение ликвидности
Хотя утверждение Resolv о том, что их залоговый пул «полностью цел», технически верно, оно преуменьшает потери.
Инфляция предложения: Как отмечают аналитики блокчейна, атака была реализована в форме инфляции предложения, а не прямого кражи залоговых активов. Добавленные 80 миллионов токенов размыли существующее предложение, а продажи злоумышленников полностью уничтожили ликвидность залогового пула. Любой, кто владел USR на тот момент, сразу понес убытки.
Влияние на рынок DeFi-кредитования: Эффект отвязки также затронул рынок DeFi-кредитования. USR и его стейкинг-производные wstUSR принимались в качестве залога на платформах, таких как Morpho и Gauntlet. Некоторые спекулянты могли покупать USR со скидкой и заимствовать USDC по фиксированной оценке в 1 доллар, что привело к истощению ликвидности стабильных монет в этих хранилищах. D2 Finance отметила, что хранилища на платформе Morpho, управляемые Gauntlet, также пострадали.
Субординированные доли и цепная реакция: потери могут также затронуть субординированные доли Resolv. Ликвидный пул Resolv (RLP), выступающий в качестве механизма страхования, поглощает убытки для защиты держателей USR; его оборотный капитал на цену до эксплуатации уязвимости составлял около 38,6 млн долларов США. Согласно сообщению YieldsAndMore, Stream имеет позицию в 13,6 млн RLP в Morpho с чистой экспозицией около 17 млн долларов США, что означает, что его депозиторы могут столкнуться с еще одним значительным убытком.
Рыночная капитализация резко сократилась: согласно данным CoinMarketCap, рыночная капитализация USR упала с примерно 400 миллионов долларов США в начале февраля до примерно 100 миллионов долларов США до атаки. В результате этой атаки цена токена управления RESOLV снизилась примерно на 8,5% за последние 24 часа.
Четвертая часть: История Resolv и распространенность хакерских атак на DeFi
Resolv завершила семенную серию финансирования на 10 миллионов долларов США в апреле 2025 года, возглавляемую Cyber.Fund и Maven11, с участием Coinbase Ventures, Arrington Capital и Animoca Ventures, и была инкубирована Delphi Labs.
Аудит и программа вознаграждения за уязвимости: Сайт Resolv утверждает, что завершил 14 аудитов для пяти компаний, запустил программу вознаграждения за уязвимости на Immunefi в размере 500 000 долларов США и предоставляет услуги непрерывного мониторинга смарт-контрактов.
Тренды хакерских атак на DeFi: Эта инцидент с использованием уязвимости дополнительно увеличил количество хакерских атак на DeFi в 2026 году. Инцидент с Resolv — последний в серии криптовалютных атак в начале 2026 года. В январе этого года Truebit потерял 26,6 миллиона долларов из-за того, что злоумышленники воспользовались уязвимостью в смарт-контракте, развернутом пять лет назад. В тот же месяц стабильный пул Makina Finance потерял около 5 миллионов долларов из-за манипуляций с оракулом протокола с помощью молниеносных займов. Недавний отчет Immunefi показал, что средний ущерб от криптовалютных хакерских атак сейчас составляет около 25 миллионов долларов, а пять крупнейших атак за 2024–2025 годы составили 62% всех похищенных средств.
Пятый: Время политики и регулирования: риски доходных стабильных монет
С точки зрения политики, момент также любопытен, поскольку американские законодатели активно обсуждают, как регулировать доходные стабильные монеты в соответствии с законом GENIUS.
Риск оттока банковских вкладов: Американская ассоциация банкиров предупреждает, что такие продукты могут перенаправить вклады из традиционных банков.
Регуляторный консенсус: Несколько ключевых сенаторов достигли «принципиального соглашения» по вопросу обработки доходов от стейблкоинов в прошлую пятницу.
Заключение:
Стабильная монета USR протокола Resolv оторвалась от золотого обеспечения после того, как злоумышленник выпустил 80 миллионов необеспеченных токенов и похитил около 25 миллионов долларов США, вновь предупредив о рисках безопасности в DeFi. Это событие не только выявило уязвимости, связанные с сложными контрактами, контролем доступа и аудитом в высокодоходных стабильных монетах, но и поставило под серьезную угрозу доверие ко всей экосистеме DeFi.