Kripto para piyasasında, stabil kripto paralar, geleneksel finans ile Web3 dünyası arasındaki "köprü" olarak görülür ve istikrarları ile güvenliği kritik öneme sahiptir. Ancak yakın zamanda Resolv'un USR stabil kripto parasına yönelik bir saldırı, DeFi güvenliğine yeniden uyarıda bulunmuştur. 22 Mart 2025'te, saldırganlar, Resolv'un USR üretme sözleşmesindeki bir açıklığı kullanarak yaklaşık 80 milyon adet teminatsız token üretmiş ve yaklaşık 25 milyon dolarlık ETH çalmıştır. Bu saldırı, USR'nin Curve borsasında 0,025 dolar seviyesine kadar düşmesine neden olmuş, ardından fiyat yaklaşık 0,85 dolar seviyesine geri çıkmıştır; ancak dolarla olan bağlanışı henüz tamamen geri kazanılmamıştır. Bu saldırı, USR stabil kripto parasının altınla bağlantısını koparmakla kalmamış, aynı zamanda karmaşık DeFi protokollerinin potansiyel zayıflıklarını ve düzenleyici boşluklar altında yüksek getiri sağlayan stabil kripto paraların getirebileceği büyük riskleri ortaya çıkarmıştır.
Bir: Resolv'un USR stabilitesi bozuldu: Saldırgan, 80 milyon güvensiz token üretti ve 25 milyon dolarlık ETH çaldı
Birden fazla blockchain güvenlik şirketine göre, Pazar günü bir saldırgan, Resolv'un USR stabilitesi yaratma sözleşmesindeki bir açıklığı kullanarak yaklaşık 80 milyon garantisiz token oluşturdu ve yaklaşık 25 milyon dolar çaldı.
Saldırı yöntemi: Saldırı, UTC saat 02:21 civarında başladı. X hesabı YieldsAndMore, saldırganın Resolv'un USR Counter sözleşmesine 100.000 USDC yatırarak bunun karşılığında 50 milyon USR aldığını gösteren Etherscan işlem verilerini yayınladı; bu miktar, beklenen miktarın yaklaşık 500 katıydı. Daha sonra saldırgan, ikinci bir işlemle ek olarak 30 milyon USR daha üretti.
USR bağlantısı kesildi: USR, dolarla ilişkili bir stabil kripto para birimidir ve delta nötr hedging stratejisi kullanır; rezervleri fiat para değil, ETH ve BTC'dir. DEX Screener verilerine göre, bu token ilk kez çıkarıldıktan 17 dakika sonra en likit olan Curve Finance havuzunda 0,025 dolar seviyesine düştü. Daha sonra fiyat yaklaşık 0,85 dolara yükseldi, ancak Pazar günü sabah itibarıyla dolarla bağlantısı hâlâ kurulamadı.
Çalınan varlıklar: Saldırgan, 0x04A2 ile başlayan bir adresi kullanarak, merkeziyetsiz bir borsada üretilen USR'yi USDC ve USDT'ye çevirdi ve ardından elde edilen tutarı ETH'ye dönüştürdü. Blok zinciri verilerine göre, yazım anına kadar saldırganın cüzdan adresinde 11.409 ETH, yaklaşık 23,7 milyon dolar değerinde bulunuyor. Saldırganın başka bir doğrulanmış cüzdan adresinde ise yaklaşık 1,1 milyon dolar değerinde wstUSR token'ı bulunuyor.
Resolv Labs'ın yanıtı: Resolv Labs, X ile ilgili açıklamasında tüm protokol fonksiyonlarını durdurduğunu, kira havuzlarının "tamamen korunaklı" olduğunu ve "temel varlıkların kaybedilmediğini" belirtti. Takım, sorunun "yalnızca USR emisyon mekanizmasına sınırlı" olduğunu söyledi.
İkinci: Güvenlik açıklarının nedeni: Özel maden rolü ve zayıf erişim kontrolü
Analistler, bu hatanın, herhangi bir basım sınırı veya oracle kontrolü olmayan, dışsal tüm hesaplar tarafından kontrol edilen bir yetkili basım rolünden kaynaklandığını tespit etti.
Zayıf erişim kontrolü: Zincir üzerindeki analist Andrew Hong, bu güvenlik açıklamasını, takas isteklerini tamamlamak için kullanılan SERVICE_ROLE adlı ayrıcalıklı hesaba bağladı. Bu rol, çok imzalı bir hesap yerine standart bir dış hesap (EOA) tarafından kontrol ediliyor. Ayrıca, maden işleme sözleşmesinde tahminci kontrol, miktar doğrulama ve maksimum madenleştirme sınırı bulunmuyor.
Denetim ve izleme eksikliği: DeFi fonu D2 Finance, üç olası açıklamayı listeledi: orakların manipüle edilmesi, çevrimdışı imzalayıcıların ele geçirilmesi veya basım talebi ile tamamlama arasındaki miktar doğrulamasının eksikliği. YieldsAndMore de bu analizi kabul ediyor ve Resolv protokolünün yönetimi, ölçeğiyle uyumlu bir güvenlik sağlamıyor. “Sadece denetimlere güvenmek yeterli değil; basım ve arzı gerçek zamanlı olarak izlemiyorsanız, en kritik anlarda tamamen kör kalırsınız,” dedi Cyvers CEO’su Deddy Lavid, The Block’a.
Üç: USR sahipleri büyük kayıplarla karşı karşıya: arz genişlemesi ve likidite tükendi
Resolv, kilitlenme havuzunun "tamamen zararsız" olduğunu iddia etse de, bu iddia kayıpları küçümsüyor.
Tedavi enflasyonu: Zincir üstü analistlerin belirttiği gibi, bu saldırı doğrudan teminat varlıklarını çalmak yerine tedavi enflasyonu şeklinde gerçekleşti. Eklenen 80 milyon token, mevcut arzı seyreltti ve saldırganın satışları teminat havuzunun likiditesini tamamen yok etti. O anda USR tutan herkes hemen zarar gördü.
DeFi kredi pazarını etkiledi: De-peg etkisi, DeFi kredi pazarını da etkiledi. USR ve stake edilmiş türevi wstUSR, Morpho ve Gauntlet gibi platformlarda teminat olarak kabul edildi. Bazı spekülatif ticaretçiler, USR'yu indirimli fiyatlardan satın alıp sabit 1 dolar değerlemesiyle USDC kredi çekerek bu kasa içindeki stabil para akışını tüketebilir. D2 Finance, Gauntlet tarafından yönetilen Morpho platformundaki kasaların da etkilendiğini belirtti.
Alt sıralı hisseler ve zincirleme etki: Kayıplar, Resolv'un alt sıralı hisselerini de etkileyebilir. Resolv likidite havuzu (RLP), güvenlik katmanı olarak kayıpları emerek USR sahiplerini korur; güvenlik açıklarından önceki fiyata göre dolaşımdaki miktar yaklaşık 38,6 milyon ABD dolarıdır. YieldsAndMore'a göre, Stream, Morpho'da 13,6 milyon RLP pozisyonuna sahip olup net maruziyeti yaklaşık 17 milyon ABD dolarıdır; bu da yatırımcılarının yeni bir büyük kayıp yaşama ihtimali olduğunu göstermektedir.
Piyasa değeri büyük ölçüde azaldı: CoinMarketCap verilerine göre, USR'nin piyasa değeri Şubat başındaki yaklaşık 4 milyar dolarlık seviyeden saldırı öncesi yaklaşık 1 milyar dolara düştü. Bu saldırıdan sonra RESOLV yönetim tokeni fiyatı son 24 saatte yaklaşık %8,5 düştü.
Dört: Resolv'un Arka Planı ve DeFi Hacking'in Yaygınluğu
Resolv, 2025 yılında Cyber.Fund ve Maven11 liderliğinde, Coinbase Ventures, Arrington Capital ve Animoca Ventures'in katıldığı 10 milyon dolarlık tohum sermaye turunu tamamladı ve Delphi Labs tarafından geliştirildi.
Denetim ve Güvenlik Ödül Programı: Resolv, web sitesinde beş şirket için 14 denetim tamamladığını açıkladı ve 500.000 ABD doları değerinde bir Immunefi güvenlik ödül programı kurdu; aynı zamanda sürekli akıllı sözleşme izleme hizmeti sunuyor.
DeFi hack trend: Bu zafiyet istismarı, 2026 yılında DeFi hack olaylarının sayısını daha da artırmıştır. Resolv olayı, 2026 yılının başındaki kripto para saldırılarının en yenisi olmuştur. Bu yıl Ocak ayında, Truebit, beş yıl önce dağıtılan bir akıllı sözleşme zafiyetini istismar eden saldırganlar nedeniyle 26,6 milyon dolar kaybetmiştir. Aynı ay, Makina Finance’in kararlılık havuzu, saldırganların ışın kredisi kullanarak protokolün fiyat veri kaynağından manipülasyon yapması nedeniyle yaklaşık 5 milyon dolar kaybetmiştir. Immunefi’nin geçen hafta yayınladığı bir rapora göre, şu anda kripto para hack saldırılarının ortalama kaybı yaklaşık 25 milyon dolar olup, 2024-2025 yılları arasında kayıp miktarı en yüksek ilk beş saldırı, tüm çalınan fonların %62’sini oluşturmaktadır.
Beş: Politika ve düzenlemelerin zamanlaması: Getiri sağlayan stabil para riskleri
Politik açıdan, zamanlaması da ilginçtir, çünkü ABD yasama organları, GENIUS Yasası'na göre getiri sağlayan stabil kripto paraları nasıl düzenleyeceğine dair aktif olarak tartışmaktadır.
Banka mevduatı kayıp riski: Amerikan Bankcılar Birliği, bu tür ürünlerin mevduatları geleneksel bankalardan转移 edebileceğini uyarıyor.
Düzenleyici uzlaşma: Bazı önemli senatörler, geçen Cuma günü stabil kripto para getirilerinin nasıl işleneceğine dair “ilke düzeyinde bir anlaştı” sağladı.
Sonuç:
Resolv'un USR stabilitesi, saldırganların 80 milyon adet teminatsız token üretip yaklaşık 25 milyon dolar çalması sonucu altına bağlılığını kaybetti ve DeFi güvenliğine yeniden uyarıda bulundu. Bu olay, yüksek getirili stabilite tokenlarının karmaşık sözleşme tasarımı, erişim kontrolü ve denetim açısından potansiyel zafiyetlere sahip olabileceğini göstermekle kalmadı, aynı zamanda DeFi ekosisteminin güven mekanizmalarına ciddi bir meydan okuma sundu.