Уязвимость в процессе выпуска стабильной монеты USR вызвала кризис: протокол Resolv подвергся эксплуатации, в результате чего было создано 80 миллионов токенов и возникли существенные убытки

Крупный эксплойт стейблкоина Resolv USR

В воскресенье утром уязвимость в протоколе Resolv вызвала резонанс на рынке DeFi. Несколько компаний по блокчейн-безопасности подтвердили, что злоумышленник воспользовался ошибкой в контракте выпуска стейблкоина USR, создав около 80 миллионов необеспеченных токенов USR и выведя примерно $25 миллионов активов с рынка.

Атака произошла около 02:21 UTC и впервые была обнаружена мониторинговым аккаунтом YieldsAndMore, который зафиксировал необычные транзакции.

Детали атаки: малые депозиты — огромный выпуск токенов

Данные блокчейн-транзакций показывают, что злоумышленник сначала внес 100 000 USDC в контракт USR Counter протокола Resolv. Теоретически это должно было вернуть эквивалентное количество USR.

Однако результат оказался аномальным:

• Первая транзакция выпустила около 50 миллионов USR
• Вторая — еще 30 миллионов USR

Общий выпуск оказался примерно в 500 раз выше ожидаемого.

Цена USR стремительно обрушилась

USR — стейблкоин, привязанный к доллару США, который вместо фиатных резервов использует комбинацию ETH и BTC с дельта-нейтральной стратегией хеджирования. После выпуска большого объема необеспеченных токенов рыночная цена быстро вышла из-под контроля.

Реакция рынка включала:

• В пуле ликвидности Curve Finance
• Цена упала до $0,025 за 17 минут

(Источник: DEXSCREENER)

Хотя цена кратковременно восстановилась до примерно $0,85, ей не удалось вернуться к привязке $1.

Перемещения средств злоумышленника

Адрес злоумышленника, начинающийся с 0x04A2, провел серию арбитражных операций:

1. Обменял выпущенные USR на USDC и USDT
2. Продал эти активы на нескольких децентрализованных биржах
3. В итоге конвертировал выручку в ETH

Согласно данным блокчейна:

• Основной кошелек содержит 11 409 ETH
• Стоимость — примерно $23,7 миллиона

Другой адрес хранит около $1,1 миллиона в wstUSR.

Реакция Resolv: обеспеченные активы сохранены

После инцидента Resolv Labs сообщила в социальных сетях:

• Все функции протокола приостановлены
• Пул обеспеченных активов остается целым
• Проблема ограничена процессом выпуска USR

(Источник: ResolvLabs)

Аналитики отмечают, что хотя обеспеченные активы не были похищены напрямую, рыночные потери значительны.

Недостаточные механизмы разрешений и проверки

Аналитик блокчейна Andrew Hong указал на основную проблему: аккаунт SERVICE_ROLE, который обрабатывает запросы обмена, контролируется обычным EOA-кошельком, а не мультисиг-кошельком.

Контракт выпуска не содержал важных защитных механизмов:

• Нет проверки цены через оракл
• Нет ограничения на количество выпускаемых токенов
• Нет проверки запросов на выпуск и сумм исполнения

DeFi-инвестфирма D2 Finance выделила три возможные причины:

1. Манипуляция ценовым ораклом
2. Компрометация офлайн-аккаунта для подписи
3. Отсутствие механизма проверки суммы выпуска

(Источник: D2_Finance)

Эффект на экосистему DeFi

Крах USR затронул не только держателей токенов, но и рынок кредитования DeFi. USR и его стейк-версия wstUSR использовались как обеспечение на платформах Morpho и Gauntlet.

Некоторые трейдеры воспользовались падением цены USR ниже $1:

• Купили USR со скидкой
• Использовали его как обеспечение по фиксированной оценке $1 в системе
• Заняли USDC

Это способно быстро истощить ликвидность кредитных пулов.

Под угрозой страховой пул и слой ликвидности

Механизм защиты ликвидности Resolv, Resolv Liquidity Pool (RLP), предназначен для поглощения убытков и защиты USR. До атаки циркулирующая стоимость RLP составляла около $38,6 миллиона, крупнейшим держателем был протокол доходности Stream Finance. Stream Finance ранее потерял $93 миллиона из-за неправомерного использования активов в 2025 году и теперь снова сталкивается с риском.

Усиливается регуляторное давление

Инцидент совпал с обсуждением в Конгрессе США регулирования стейблкоинов, включая закон GENIUS Act, который направлен на регулирование доходных стейблкоинов. Американская ассоциация банкиров предупредила, что такие продукты могут отвлекать депозиты от традиционных банков.

Заключение

Инцидент с Resolv USR подчеркивает, что риски стейблкоинов связаны не только с обеспеченными активами, но и с ошибками в дизайне контрактов и управлении разрешениями. Даже если базовые активы остаются нетронутыми, неконтролируемое расширение предложения и потеря доверия рынка способны вызвать значительные убытки. По мере роста рынка DeFi создание надежных систем мониторинга, управления разрешениями и контроля рисков становится необходимым для развития стейблкоинов и финансовых инструментов на блокчейне.