- Злоумышленник собрал 80 млн долларов без финансирования USR, используя $100K-$200K, извлечя $23M–$25 млн в ETH.
- Корень причины — скомпрометированные приватные ключи без ограничений на Mint или проверок Oracle.
- USR потерял свою привязанность за считанные минуты, рухнув ниже $0.40 с минимальными значениями около $0.02.
Resolv Labs подтвердила , что их система чеканки стейблкоина USR была использована 22 марта 2026 года. Злоумышленник получил доступ к приватным ключам и выпустил 80 миллионов необеспеченных USR-токенов.
Злоумышленник использовал только $100,000–$200,000 в качестве первоначального залога. Этот вклад должен был обеспечить небольшое количество USR, но система позволила создать десятки миллионов.
Злоумышленник конвертировал USR в стейкинговую версию (wstUSR), затем обменял его на другие стейблкоины, включая USDC от Circle, и, наконец, в Ether. Данные по блокчейну показывают общий объем добычи ETH примерно от 23 миллионов до 25 миллионов долларов.
Корень причины: компрометация приватного ключа, а не сбой кода
Эксплойт не возник из-за ошибки в смарт-контрактах, и система работала по записанному сценарию. Сбой произошёл из-за офф-чейневой инфраструктуры.
Злоумышленник скомпрометировал систему управления ключами AWS Resolv и получил контроль над привилегированным ключом подписи. Этот ключ имел полномочия утверждать суммы чеканки.
В контракте проверялась только действительность подписи, не было максимального лимита монетного двора, не было ценового оракула и не было проверки коэффициента залога.
Две основные сделки демонстрируют масштаб: отчеканено 50 миллионов долларов США и 30 миллионов долларов США соответственно, при этом 80 миллионов долларов США создано с минимальным финансированием. После того как злоумышленники скомпрометировали ключ, они включили неограниченное мантение токенов.
Заражение распространяется на DeFi-протоколы
Повреждения не остались внутри Resolv. Протоколы, интегрированные с USR, также пострадали. Morpho Labs сообщили о воздействии через свои кураторские кредитные архивы. Эксплойт затронул около 15 хранилищ с суммой более $10,000 каждый.
Кураторы, включая Gauntlet, Re7 Labs, kpk и 9summits, имели бассейны, связанные с USR. Некоторые автоматизированные системы продолжали обеспечивать ликвидность даже после эксплойта, что усугубляло убытки.
Morpho заявила, что основные контракты остаются в безопасности, риски ограничены кураторами.
Стейблкоин USR теряет привязку, а цена упала ниже $0.40
Внезапный шок предложения мгновенно сломал систему, так как USR потерял привязанность к доллару за считанные минуты.
Данные показывают, что токен опустился ниже $0.40, с минимальными значениями около $0.02 на некоторых каналах. Chainalysis оценивает на 80% коллапс в момент пиковой паники перед частичным восстановлением.
Протокол немедленно отключает Mint и активирует функции, чтобы предотвратить дальнейший урон. В то же время нападавший попытался чеканить дополнительные монеты, что вынудило команду быстро отреагировать.
Держатели USR оставались уязвимыми, поскольку пулы ликвидности были переполнены необеспеченными токенами.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
