Протокол Resolv Labs зазнав масштабного злому 22 березня 2026 року. Невідомий зловмисник скористався вразливістю у смарт-контракті випуску стейблкоїна USR і за дві транзакції створив 80 мільйонів незабезпечених токенів. Викрадені кошти було конвертовано в Ethereum загальною вартістю близько $23,7 млн.
Як відбувся злом
Атака здійснювалась у два етапи. Спочатку хакер внес приблизно 100 000 USDC у контракт випуску USR і за одну транзакцію отримав 50 мільйонів токенів, у 500 разів більше за нормальний курс обміну. Друга транзакція додала ще 30 мільйонів USR, доводячи загальну кількість незабезпечених токенів до 80 мільйонів.
Аналітики з компанії D2 Finance встановили, що причиною стала скомпрометована привілейована роль у смарт-контракті. Так звана "сервісна роль" контролювалась одним зовнішнім гаманцем без жодних обмежень на обсяг випуску та без перевірки цінових оракулів. Контракт перевіряв лише мінімальну кількість випущених токенів, але не встановлював верхньої межі. Коли зловмисник отримав доступ до сервісного ключа, він зміг задати довільну кількість USR, у сотні разів більше за реальне забезпечення.
Агресивне виведення через DeFi
Отримавши 80 мільйонів незабезпечених USR, хакер негайно розпочав ліквідацію через кілька децентралізованих протоколів. Токени обмінювались на стейблкоїни USDC та USDT на різних платформах, після чого конвертувались у Ethereum. За даними ончейн-аналітика Ai Yi, у підсумку зловмисник придбав 11 409 ETH на суму близько $23,7 мільйона.
Масивний продаж USR миттєво обвалив ціну на децентралізованих біржах. На Curve Finance токен впав до абсолютного мінімуму $0,025 - це 97,5% втрати від цільового курсу $1. Згодом ціна частково відновилась до рівня $0,85, проте повна прив'язка до долара залишається під питанням. Управлінський токен RESOLV також відреагував падінням на 6% до $0,054.
Що таке Resolv і як працює USR
Resolv - це DeFi-протокол, який випускає стейблкоїн USR з прив'язкою 1:1 до долара США. На відміну від централізованих стейблкоїнів на кшталт USDC чи USDT, USR підтримує свій курс через надмірну заставу з криптоактивів, переважно ETH, стейкованого Ethereum та Bitcoin. Це робить його децентралізованою альтернативою, проте й додає додаткові ризики, пов'язані з безпекою смарт-контрактів.
Механізм випуску передбачає спеціальний сервісний ключ, який визначає кількість USR на кожний депозит. Саме тут і знаходилась критична вразливість: контракт довіряв цьому ключу без обмежень, а сам ключ зберігався на одному зовнішньому гаманці без мультипідпису. По суті, безпека активів усіх користувачів залежала від одного приватного ключа.
Реакція команди та перспективи відновлення
Resolv Labs оперативно призупинила всі функції протоколу для запобігання подальшим зловживанням. У заяві на платформі X команда зазначила, що пул забезпечення "залишається повністю недоторканим" і жодних базових активів не було втрачено. Це означає, що кошти, які підтримують вже випущені USR, не були вкрадені, збиток понесли ті, хто купив незабезпечені токени на вторинному ринку.
Розслідування триває за участю ончейн-аналітиків PeckShield та Ai Yi, які першими виявили підозрілу активність. Наразі немає інформації про те, чи вдасться повернути вкрадені кошти, адже зловмисник уже конвертував їх у ETH.
Уроки для DeFi-безпеки
Злом Resolv став черговим нагадуванням про ризики привілейованих ключів у DeFi-протоколах. Використання одного зовнішнього гаманця для контролю критичної функції випуску токенів без мультипідпису, таймлока чи верхнього ліміту - це серйозна архітектурна вразливість, яку можна було уникнути.
Інцидент показує важливість багаторівневого захисту: мультисіг-гаманці для адміністративних функцій, жорсткі обмеження на обсяг випуску за одну транзакцію, та обов'язкова перевірка через цінові оракули. Для користувачів децентралізованих стейблкоїнів атака на USR, ще один привід ретельно оцінювати механізми забезпечення та безпеку смарт-контрактів перед розміщенням капіталу.
Коментарі
Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *