Протокол Resolv Labs подвергся масштабному взлому 22 марта 2026 года. Неизвестный злоумышленник воспользовался уязвимостью в смарт-контракте выпуска стейблкоина USR и за две транзакции создал 80 миллионов необеспеченных токенов. Похищенные средства были конвертированы в Ethereum на общую сумму около $23,7 млн.
Как произошёл взлом
Атака осуществлялась в два этапа. Сначала хакер внёс примерно 100 000 USDC в контракт выпуска USR и за одну транзакцию получил 50 миллионов токенов, в 500 раз больше нормального курса обмена. Вторая транзакция добавила ещё 30 миллионов USR, доводя общее количество необеспеченных токенов до 80 миллионов.
Аналитики компании D2 Finance установили, что причиной стала скомпрометированная привилегированная роль в смарт-контракте. Так называемая "сервисная роль" контролировалась одним внешним кошельком без каких-либо ограничений на объём выпуска и без проверки ценовых оракулов. Контракт проверял лишь минимальное количество выпускаемых токенов, но не устанавливал верхнего предела. Когда злоумышленник получил доступ к сервисному ключу, он смог задать произвольное количество USR, в сотни раз больше реального обеспечения.
Агрессивный вывод через DeFi
Получив 80 миллионов необеспеченных USR, хакер немедленно начал ликвидацию через несколько децентрализованных протоколов. Токены обменивались на стейблкоины USDC и USDT на различных платформах, после чего конвертировались в Ethereum. По данным ончейн-аналитика Ai Yi, всего злоумышленник приобрёл 11 409 ETH на сумму около $23,7 миллиона.
Массивная распродажа USR мгновенно обрушила цену на децентрализованных биржах. На Curve Finance токен упал до абсолютного минимума $0,025 - это 97,5% потери от целевого курса $1. Позже цена частично восстановилась до уровня $0,85, однако полная привязка к доллару остаётся под вопросом. Управленческий токен RESOLV также отреагировал падением на 6% до $0,054.
Что такое Resolv и как работает USR
Resolv - это DeFi-протокол, выпускающий стейблкоин USR с привязкой 1:1 к доллару США. В отличие от централизованных стейблкоинов вроде USDC или USDT, USR поддерживает свой курс через избыточное обеспечение криптоактивами, преимущественно ETH, стейкированным Ethereum и Bitcoin. Это делает его децентрализованной альтернативой, но вместе с тем добавляет дополнительные риски, связанные с безопасностью смарт-контрактов.
Механизм выпуска предусматривает специальный сервисный ключ, определяющий количество USR на каждый депозит. Именно здесь находилась критическая уязвимость: контракт доверял этому ключу без ограничений, а сам ключ хранился на одном внешнем кошельке без мультиподписи. По сути, безопасность активов всех пользователей зависела от одного приватного ключа.
Реакция команды и перспективы восстановления
Resolv Labs оперативно приостановила все функции протокола для предотвращения дальнейших злоупотреблений. В заявлении на платформе X команда указала, что пул обеспечения "остаётся полностью нетронутым" и никаких базовых активов потеряно не было. Это означает, что средства, обеспечивающие уже выпущенные USR, не были украдены, убытки понесли те, кто купил необеспеченные токены на вторичном рынке.
Расследование продолжается при участии ончейн-аналитиков PeckShield и Ai Yi, которые первыми обнаружили подозрительную активность. На данный момент нет информации о возможности возврата похищенных средств, поскольку злоумышленник уже конвертировал их в ETH.
Уроки для DeFi-безопасности
Взлом Resolv стал очередным напоминанием о рисках привилегированных ключей в DeFi-протоколах. Использование одного внешнего кошелька для контроля критической функции выпуска токенов без мультиподписи, таймлока или верхнего лимита - это серьёзная архитектурная уязвимость, которой можно было избежать.
Инцидент показывает важность многоуровневой защиты: мультисиг-кошельки для административных функций, жёсткие ограничения на объём выпуска за одну транзакцию и обязательная проверка через ценовые оракулы. Для пользователей децентрализованных стейблкоинов атака на USR, ещё один повод тщательно оценивать механизмы обеспечения и безопасность смарт-контрактов перед размещением капитала.
Комментарии
Ваш e-mail адрес не будет опубликован. Обязательные поля отмечены *