Проблеми Resolv поглиблюють спад DeFi, оскільки виникають критичні ризики стейблкойнів

Основна вразливість у системі емісії стабільної монети USR від Resolv спричинила злом Resolv, що спричинило серйозні порушення на ринку кількох взаємопов’язаних платформ DeFi.

Як розгорнувся злом USR стабільної монети

У неділю досвідчений зловмисник атакував інфраструктуру емісії USR від Resolv і створив приблизно 80 мільйонів непідкріплених токенів, що в кінцевому підсумку призвело до витоку близько 25 мільйонів доларів у ETH з протоколу. Злом підкреслив, як одна слабкість у логіці емісії стабільної монети може спричинити широку кризу на ринку.

Зловмисна діяльність почалася близько 2:21 ранку за UTC, коли зловмисник депонув 100 000 USDC у контракт USR від Resolv. У відповідь він отримав аномальні 50 мільйонів USR — приблизно у 500 разів більше за легітимну кількість. Наступна транзакція створила ще 30 мільйонів токенів. Разом ці дії збільшили пропозицію USR без відповідного забезпечення.

Після несанкціонованого емісії зловмисник систематично обмінював фальшиві USR на USDC і USDT на кількох децентралізованих біржах. Більше того, він консолідував отримані кошти у ETH. За даними блокчейну, на даний момент його гаманець містить 11 409 ETH, оцінюваних приблизно у 23,7 мільйонів доларів за поточними ринковими цінами.

Жорстке знецінення на Curve і великі втрати для власників USR

USR, розроблений для підтримки цінового пейджу в $1, зазнав майже миттєвого краху. Лише через 17 хвилин після першої аномальної емісії токен впав до $0,025 на Curve Finance. Однак ціна швидко частково відновилася до приблизно $0,85, але залишалася глибоко відплившою протягом недільного ранку.

Resolv Labs повідомила у X, що призупинила всі операції протоколу. Команда підкреслила, що пул забезпечень «залишається цілком цілісним» і запевнила, що «жодних основних активів» не було скомпрометовано, пояснюючи проблему як «ізольовану до механіки емісії USR». Однак реакція ринку показала, що користувачі були далеко не заспокоєні.

Аналізатори блокчейну швидко зазначили, що основна шкода завдана власникам USR. Раптовий приплив 80 мільйонів нових токенів значно розбавив обіг. Крім того, агресивний продаж зловмисника знизив ліквідність у доступних пулах. Інвестори, які тримали USR під час інциденту, зазнали негайних і значних втрат у портфелях.

Компрометація привілейованих облікових записів протоколу та заходи безпеки при емісії

Дослідники безпеки швидко відстежили, що злом пов’язаний із критичним контролем доступу. Аналітик з безпеки блокчейну Ендрю Хон визначив джерело злома у привілейованому обліковому записі, позначеному як SERVICE_ROLE. Ця дуже чутлива роль, за повідомленнями, керувалася одним зовнішнім обліковим записом, а не більш безпечною структурою мультипідпису.

Контракт емісії USR, за повідомленнями, позбавлений ключових захистів, таких як надійна перевірка ораку, правильна валідація кількості та максимальні пороги емісії. Однак ця слабкість у дизайні могла взаємодіяти з глибшою операційною несправністю — витоком привілейованих облікових даних. Інцидент підкреслив, як ролі управління можуть стати єдиною точкою відмови, якщо їх не посилити належним чином.

Компанія з безпеки Pashov, яка раніше проводила аудит стейкінг-модуля Resolv у липні 2025 року, повідомила Cointelegraph, що корінь проблеми, ймовірно, полягає у компрометації приватного ключа, а не у ваді архітектури. Водночас, компанія наголосила, що навіть добре аудиторські протоколи залишаються вразливими, якщо управління ключами та операційна безпека не суворі.

Деді Лавід, генеральний директор Cyvers, попередив, що лише аудити недостатні для забезпечення повної безпеки. «Аудити самі по собі недостатні. Якщо ви не контролюєте емісію та обіг у реальному часі, ви сліпі, коли це найважливіше», — підкреслив він, наголошуючи на необхідності постійного автоматизованого моніторингу привілейованих дій.

Обширні аудити, програми пошуку багів і прогалини у моніторингу в реальному часі

Офіційна документація Resolv перераховує 14 аудиторських перевірок, проведених п’ятьма різними компаніями з безпеки. Проект також рекламує програму пошуку багів із винагородою у 500 000 доларів на Immunefi, а також системи постійного нагляду за смарт-контрактами. Однак успішний злом показує, що навіть значні інвестиції у безпеку можуть бути знівельовані однією операційною помилкою.

Спостерігачі галузі зазначили, що масштаб збитків відповідає загальним тенденціям. Останній звіт Immunefi показав, що середній злом криптовалюти зараз спричиняє збитки приблизно у 25 мільйонів доларів. Крім того, п’ять найбільших зломів 2024–2025 років становили 62% від загальної викраденої суми у секторі, що підкреслює постійну концентрацію ризиків.

На цьому тлі злом Resolv слугує кейсом щодо обмежень попередніх аудитів і програм пошуку багів. Постійний моніторинг у блокчейні, посилене управління ключами та суворі контролі привілейованих ролей стають дедалі необхіднішими для запобігання подібним інцидентам.

Ефекти поширення DeFi і реакція платформ

Злом швидко поширився на широку екосистему DeFi. Багато платформ почали оцінювати та зменшувати свою експозицію до USR та пов’язаних активів. Крім того, вони оприлюднили публічні оновлення, щоб запобігти паніці користувачів і уникнути подальшого системного напруження.

Lido підтвердив, що кошти користувачів, депоновані у Lido Earn, залишаються безпечними і не були безпосередньо уражені інцидентом. Стані Кулєчов, засновник Aave, заявив, що протокол кредитування не має прямої експозиції до USR. Він також зазначив, що Resolv активно погашає заборгованість, що свідчить про скоординовані зусилля щодо обмеження наслідків.

На платформі кредитування Morpho співзасновник Мерлін Егалите уточнив, що уражені лише окремі сейфи, а не вся платформа. Однак ці цільові ризики все ще створювали виклики для окремих пулів і їхніх провайдерів ліквідності, що спричинило швидке перегляд керівних принципів і ризикових параметрів.

Позикові операції з важелем і напруження на ринках кредитування

Як USR, так і його похідний wstUSR, були схвалені як забезпечення на кількох протоколах, включаючи Morpho та Gauntlet. Аналітики повідомили, що спекулятивні трейдери купували USR за зниженими цінами і використовували його як забезпечення, позичаючи USDC майже за повною вартістю $1.

Ця стратегія створила небезпечний розрив між ринковою ціною та оцінкою забезпечення. В результаті, уражені сейфи втратили свої резерви стабільних монет, тоді як реальна вартість забезпечення цих позик уже знизилася. Однак механізми ризик-менеджменту та оракули на деяких платформах можуть з часом коригувати ситуацію для зменшення довгострокових збитків.

Мінусова частина страхового транчу Resolv, RLP, також може зазнати капітальних втрат. Stream Finance, яка володіє близько 13,6 мільйонами RLP на суму приблизно 17 мільйонів доларів, може передати додаткові збитки своїм вкладникам. Крім того, компанія раніше повідомила про збитки у 93 мільйони доларів у листопаді 2025 року, що підвищує занепокоєння щодо наростаючого ризику для її користувачів.

У перші години після інциденту токен управління RESOLV знизився приблизно на 8,5% за 24 години. Це падіння відображає як прямі побоювання щодо платформи, так і ширші сумніви щодо її безпекової архітектури та операційної стійкості.

Більші наслідки вразливості злома USR від Resolv

Злом Resolv, викликаний вразливістю стабільної монети USR, ілюструє, як поєднання компрометації привілейованого облікового запису протоколу та недостатнього моніторингу у реальному часі може підривати масштабні заходи безпеки. Крім того, це підкреслює, що події знецінення на основних платформах ліквідності швидко можуть спричинити колатеральні пошкодження у сферах кредитування, стейкінгу та страхування.

У майбутньому емісенти стабільних монет і протоколи DeFi, ймовірно, знову опиняться під ретельним контролем щодо управління ключами, перевірки забезпечень і моніторингу ризиків у блокчейні. Підсумовуючи, інцидент Resolv підкреслює важливий урок для галузі: без бездоганних контролів навколо емісії та привілейованого доступу навіть системи з високим рівнем аудиту можуть зазнати катастрофічних збоїв.