- Penyerang mencetak 80 juta USR yang tidak didukung menggunakan $100K-$200K, mengekstraksi $23 juta-$25 juta dalam ETH.
- Akar penyebabnya adalah kunci pribadi yang disusupi tanpa batas pencetakan on-chain atau pemeriksaan oracle.
- USR kehilangan patokannya dalam hitungan menit, jatuh di bawah $ 0,40 dengan posisi terendah di dekat $ 0,02.
Resolv Labs mengonfirmasi bahwa sistem pencetakan stablecoin USR-nya dieksploitasi pada 22 Maret 2026. Seorang penyerang mendapatkan akses ke kunci pribadi dan mencetak 80 juta token USR yang tidak didukung.
Penyerang hanya menggunakan $ 100.000-$ 200.000 sebagai jaminan awal. Masukan itu seharusnya mencetak sejumlah kecil USR, tetapi sistem memungkinkan puluhan juta untuk dibuat.
Penyerang mengubah USR menjadi versi staked (wstUSR), kemudian bertukar ke stablecoin lain, termasuk USDC Circle, dan akhirnya menjadi Ether. Data on-chain menunjukkan total ekstraksi sekitar $23 juta hingga $25 juta dalam ETH.
Akar penyebab: Penyusupan kunci pribadi, bukan kegagalan kode
Eksploitasi tidak berasal dari bug dalam kontrak pintar, dan sistem bekerja seperti yang dikodekan. Kegagalan itu berasal dari infrastruktur off-chain.
Penyerang membahayakan sistem manajemen kunci AWS Resolv dan mendapatkan kendali atas kunci penandatanganan istimewa. Kunci ini memiliki wewenang untuk menyetujui jumlah pencetakan.
Kontrak hanya memeriksa tanda tangan yang valid dan tidak memiliki batas pencetakan maksimum, tidak ada oracle harga, dan tidak ada pemeriksaan rasio agunan.
Dua transaksi utama menunjukkan skalanya, dengan masing-masing 50 juta USR dicetak dan 30 juta USR dicetak, dengan 80 juta USR dibuat dengan dukungan minimal. Setelah penyerang membahayakan kunci, mereka mengaktifkan pencetakan token tanpa batas.
Penularan menyebar di seluruh protokol DeFi
Kerusakan tidak tetap berada di dalam Resolve. Protokol yang terintegrasi dengan USR juga terpukul. Morpho Labs melaporkan paparan melalui brankas pinjaman yang dikurasi. Eksploitasi itu berdampak pada sekitar 15 brankas yang masing-masing menampung lebih dari $ 10.000.
Kurator, termasuk Gauntlet, Re7 Labs, kpk, dan 9summits, memiliki kolam renang yang terkait dengan USR. Beberapa sistem otomatis terus menyediakan likuiditas bahkan setelah eksploitasi, memburuk kerugian.
Morpho mengatakan kontrak intinya tetap aman, dengan risiko terbatas pada kurator.
Stablecoin USR Kehilangan Patokan karena Harga Jatuh Di Bawah $0,40
Guncangan pasokan yang tiba-tiba merusak sistem secara instan karena USR kehilangan patokan dolarnya dalam beberapa menit.
Data menunjukkan token turun di bawah $0,40, dengan posisi terendah mendekati $0,02 di beberapa umpan. Chainalisis memperkirakan keruntuhan 80% pada puncak kepanikan sebelum pemulihan parsial.
Protokol mematikan fungsi mint dan redeem segera untuk menghentikan kerusakan lebih lanjut. Pada saat yang sama, penyerang mencoba mencetak tambahan, memaksa respons cepat dari tim.
Pemegang USR dibiarkan terekspos karena kumpulan likuiditas dibanjiri dengan token yang tidak didukung.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
