Стейблкоїн USR Resolv відійшов від прив’язки після того, як хакер випустив 80 млн непідтримуваних токенів і вкрав $25 млн ETH

У криптовалютному ринку стабільні монети вважаються «мостом» між традиційними фінансами та світом Web3, і їхня стабільність та безпека мають вирішальне значення. Однак недавній напад на стабільну монету USR від Resolv знову попередив про небезпеки безпеки DeFi. 22 березня 2025 року нападники використали вразливість у контракті на випуск USR від Resolv, щоб випустити приблизно 80 мільйонів не забезпечених токенів та вкрасти близько 25 мільйонів доларів США в ETH. Цей напад призвів до падіння ціни USR на Curve до 0,025 долара, після чого ціна трохи відновилася до близько 0,85 долара, але прив’язка до долара ще не відновлена. Цей напад не лише від’єднав стабільну монету USR від золотого якоря, а й розкрив потенційну хрупкість складних DeFi-протоколів, а також великі ризики, пов’язані з високодоходними стабільними монетами в умовах регуляторної порожнечі.

За даними кількох компаній з безпеки блокчейну, у неділю зловмисник використав уразливість у контракті на створення стабілізованої монети USR від Resolv, щоб створити приблизно 80 мільйонів не забезпечених токенів і вкрасти близько 25 мільйонів доларів США.

Метод атаки: Атака розпочалася близько 02:21 за всесвітнім координованим часом. Обліковий запис X YieldsAndMore першим виявив цю подію та опублікував дані про транзакції Etherscan, які показували, що атакувач внес 100 000 USDC до контракту USR Counter Resolv і отримав 50 мільйонів USR у обмін — приблизно в 500 разів більше, ніж очікувалося. Після цього атакувач додатково відлив 30 мільйонів USR за допомогою другої транзакції.

USR від’єднався від прив’язки та різко впав: USR — це стабільна монета, прив’язана до долара, яка використовує дельта-нейтральну хеджувальну стратегію та має підтримку за рахунок ETH і BTC, а не валютних резервів. За даними DEX Screener, протягом 17 хвилин після першого випуску ця монета впала до 0,025 долара у найбільш ліквідному пули Curve Finance. Пізніше ціна відновилася до близько 0,85 долара, але на ранок неділі прив’язка до долара ще не була відновлена.

Вкрадені активи: Зловмисник використав адресу, що починається з 0x04A2, щоб обміняти вироблені USR на USDC та USDT на децентралізованій біржі, а потім обміняти отримані кошти на ETH. Згідно з даними блокчейну, на момент публікації гаманець зловмисника містить 11 409 ETH, що становить приблизно 23,7 мільйона доларів США. Інший гаманець, підтверджений як належний зловмиснику, містить wstUSR-тейкери на суму близько 1,1 мільйона доларів США.

Відповідь Resolv Labs: Resolv Labs у своєму заявленні щодо X повідомила, що призупинила всі функції протоколу, а їхній маржинальний пул «повністю цілий» і «не має втрат базових активів». Команда заявила, що проблема «обмежена лише механізмом випуску USR».

Аналітики виявили, що цей дефект виник через привілейований ролі створення монет, яким керують зовнішні аккаунти, без обмежень на створення монет або перевірок оракула.

Слабкий контроль доступу: аналітик ланцюга Ендрю Хонг відніс цю безпекову вразливість до ролі SERVICE_ROLE протоколу — привілейованого облікового запису, використовуваного для виконання запитів на обмін. Цю роль керує стандартний зовнішній обліковий запис (EOA), а не багатопідписовий обліковий запис. Крім того, контракт злиття не містить перевірок оракула, перевірки кількості та максимальних лімітів на випуск.

Недостатній аудит та моніторинг: DeFi-фонд D2 Finance навів три можливі пояснення: маніпуляція з оракулами, компрометація підписувачів поза ланцюгом або відсутність перевірки сум між запитом на випуск та його завершенням. YieldsAndMore також погоджується з цим аналізом і зазначає, що механізми управління протоколу Resolv не мають безпеки, відповідної їхньому розміру. «Одного аудиту недостатньо — якщо ви не моніторите випуск та обсяг у реальному часі, у найважливіший момент ви будете сліпими», — сказав генеральний директор Cyvers Deddy Lavid The Block.

Хоча твердження Resolv про те, що їхній маржинальний пул «повністю цілий», технічно правильне, воно занижує збитки.

Інфляція пропозиції: Як відзначили аналітики ланцюга, атака мала форму інфляції пропозиції, а не прямого викрадення забезпечувальних активів. Додані 80 мільйонів токенів зменшили існуючу пропозицію, а продажі атакуючих повністю знищили ліквідність забезпечувального пулу. Будь-хто, хто тримав USR на той момент, відразу зазнав збитків.

Вплив на ринок DeFi-позик: ефект відмінності від прив’язки також поширився на ринок DeFi-позик. USR та його стейкінг-деривативи wstUSR приймаються як забезпечення на платформах Morpho та Gauntlet. Деякі спекулянти могли купити USR зі знижкою та позичити USDC за фіксованою оцінкою в 1 долар, що призвело до виснаження ліквідності стабільних монет у цих скарбницях. D2 Finance зазначила, що скарбниці на платформі Morpho, якими керує Gauntlet, також постраждали.

Субординовані частки та ланцюгова реакція: збитки можуть поширитися й на субординовані частки Resolv. Рідкісний ліквіднісний пул Resolv (RLP), який діє як механізм страхування, поглинає збитки, щоб захистити власників USR, і на ціну до експлуатації вразливості його обіговий капітал становив близько 38,6 мільйона доларів США. За повідомленням YieldsAndMore, Stream має позицію в 13,6 мільйона RLP у Morpho з чистою експозицією близько 17 мільйонів доларів США, що означає, що його депозитори можуть зазнати ще одного значного збитку.

Ринкова капіталізація значно скоротилася: згідно з даними CoinMarketCap, ринкова капіталізація USR впала з приблизно 400 мільйонів доларів США на початку лютого до приблизно 100 мільйонів доларів США до атаки. Під впливом цієї атаки ціна токена управління RESOLV за останні 24 години знизилася приблизно на 8,5%.

Чотири: Історія Resolv та поширеність хакерських атак на DeFi

Resolv отримав 10 мільйонів доларів США у серії seed-інвестування у квітні 2025 року, яке очолили Cyber.Fund і Maven11, з участь Coinbase Ventures, Arrington Capital та Animoca Ventures, і був акселерований Delphi Labs.

Аудит та програма винагород за вразливості: Вебсайт Resolv стверджує, що він провів 14 аудитів для п’яти компаній, запустив програму винагород за вразливості на Immunefi на суму 500 000 доларів США та надає послуги постійного моніторингу смарт-контрактів.

Тренди хакерських атак у DeFi: Цей інцидент з використанням вразливості далі підвищив кількість хакерських атак у DeFi у 2026 році. Подія Resolv — найновіша з серії криптовалютних атак на початку 2026 року. У січні цього року Truebit втратила 26,6 мільйона доларів США через атаку, що використала вразливість у смарт-контракті, розгорнутому п’ять років тому. У той же місяць стабілізований пул Makina Finance втратив близько 5 мільйонів доларів США через маніпуляції з протокольним оракулом за допомогою блискавичних кредитів. Звіт, опублікований Immunefi на тиждень раніше, показує, що середні втрати від криптовалютних хакерських атак зараз становлять близько 25 мільйонів доларів США, а п’ять найбільших атак за період 2024–2025 років становлять 62% усіх вкрадених коштів.

З політичної точки зору, час також досить цікавий, оскільки американські законодавці активно обговорюють, як регулювати дохідні стейблкоїни згідно з законом GENIUS.

Ризик витоків депозитів: Американська асоціація банків попереджає, що такі продукти можуть перенаправити депозити з традиційних банків.

Регуляторна згода: Кілька ключових сенаторів минулого п’ятниці досягли «принципової угоди» щодо обробки доходів від стабільних монет.

Висновок:

Стабільна монета USR від Resolv втратила прив’язку до золота після того, як зловмисник випустив 80 мільйонів не забезпечених токенів і вкрав приблизно 25 мільйонів доларів США, знову попередивши про проблеми безпеки у DeFi. Цей інцидент не лише розкриває потенційні вразливості стабільних монет з високим дохідністю у складних контрактних дизайнах, контролі доступу та аудиті, але й ставить під серйозну загрозу механізми довіри всього екосистеми DeFi.