Злоумышленник использовал уязвимость в контракте эмиссии стейбкоина USR от Resolv 22 марта 2026 года, создав примерно 80 миллионов необеспеченных токенов на сумму около 200 000 долларов США в USDC и извлекая примерно 25 миллионов долларов, что привело к падению стоимости USR до 0,025 долларов на Curve, а затем частичному восстановлению до около 0,85 долларов.
Уязвимость возникла из-за привилегированной роли эмиссии, контролируемой одним внешним аккаунтом (EOA) без ограничений по эмиссии или проверки оракула, что позволило злоумышленнику в одной транзакции создать 50 миллионов USR, а в другой — еще 30 миллионов. После инцидента Resolv Labs приостановила все функции протокола и заявила, что его залоговый пул «остается полностью целым» и «не потерял никаких активов», хотя держатели USR сразу понесли убытки из-за разбавления предложения.
Злоумышленник конвертировал созданные стейбкоины в примерно 11 409 ETH (примерно 23,7 миллиона долларов) и держит дополнительно 1,1 миллиона долларов в обернутых USR токенах.
Механика атаки и технические уязвимости
Хронология эксплуатации
Атака началась около 2:21 по UTC 22 марта, когда первая транзакция показала, что злоумышленник внес 100 000 USDC в контракт USR от Resolv и получил взамен 50 миллионов USR — примерно в 500 раз больше ожидаемого. Вторая транзакция создала еще 30 миллионов USR. В течение 17 минут после первой эмиссии стоимость USR на самой ликвидной пуле Curve Finance упала до 0,025 долларов.
Основная причина: слабый контроль доступа
Аналитик onchain Андрей Хонг объяснил утечку тем, что протокол использовал роль SERVICE_ROLE — привилегированный аккаунт, выполняющий запросы на обмен. Ключевые уязвимости включали:
Контроль одним EOA: роль SERVICE_ROLE контролировалась стандартным внешним аккаунтом, а не мультиподписным кошельком
Отсутствие лимитов эмиссии: контракт эмиссии не имел максимальных лимитов
Отсутствие проверки оракула: не реализованы проверки цен или обеспечения залогом через оракул
Отсутствие проверки суммы: не было валидации между запросами на эмиссию и их выполнением
Децентрализованный фонд D2 Finance предложил три возможных объяснения уязвимости: манипуляция оракулом, компрометация оффчейн-подписанта или отсутствие проверки суммы между запросом и выполнением.
Анализ инцидента
Resolv заявила, что их сайт хвастался 14 аудитами от пяти фирм, наличием бенефициара Immunefi на сумму 500 000 долларов и постоянным мониторингом смарт-контрактов. Несмотря на это, протокол остался уязвимым для так называемой «слепой зоны» безопасности — чувствительных ключей и учетных данных, которые не хранят активы напрямую, но могут быть использованы для доступа к ним.
Генеральный директор Sodot Идо Софер отметил: «Это связано с растущей тенденцией атак, фокусирующихся на слепых зонах безопасности — чувствительных ключах и учетных данных, которые не хранят активы напрямую, но могут быть использованы для доступа к ним.»
Влияние на рынок и потери пользователей
Обвал и восстановление цены USR
USR — стейбкоин, привязанный к доллару, использующий стратегию дельта-нейтрального хеджирования, поддерживаемую ETH и BTC, а не фиатными резервами, — упал до 0,025 долларов на Curve в течение 17 минут после первой эмиссии. Позже токен восстановился примерно до 0,85 долларов, но его привязка к доллару еще не восстановлена по состоянию на утро воскресенья.
Ликвидность и залоговые потери
Атака создала 80 миллионов новых токенов, разбавляя существующий запас. Продажа созданных USR за USDC, USDT и ETH ликвидировала пул ликвидности. Владельцы USR в момент атаки понесли немедленные убытки.
Дезпривязка вызвала цепную реакцию в рынках DeFi-кредитования. USR и его дериватив wstUSR использовались в качестве залога на платформах, таких как Morpho и Gauntlet. Оппортунистические трейдеры покупали USR по сниженной рыночной цене и брали взаймы USDC под жестко зафиксированную оценку в 1 доллар, что привело к истощению ликвидности стабильных монет в пострадавших хранилищах.
Уязвимость страхового слоя RLP
Урон может распространиться на младший траш Resolv — пул ликвидности Resolv (RLP), который служит страховочным слоем, поглощающим убытки для защиты держателей USR. YieldsAndMore отметил, что RLP имел в обращении около 38,6 миллиона долларов по ценам до атаки. Самый крупный держатель RLP — Stream Finance, протокол доходности, который в ноябре 2025 года сообщил о потере 93 миллиона долларов после неправомерного использования активов внешним управляющим. Stream держит позицию RLP на 13,6 миллиона, что примерно равно 17 миллионам долларов чистого риска, что может привести к еще одним значительным потерям.
Общий фон протокола и отраслевой контекст
Обзор Resolv
Resolv, базирующийся в Абу-Даби, привлек в апреле 2025 года 10 миллионов долларов на посевное финансирование, возглавляемое Cyber.Fund и Maven11, с участием Coinbase Ventures, Arrington Capital и Animoca Ventures. Инкубированный через Delphi Labs, протокол предлагал доходность через арбитраж ставок финансирования и двухуровневую систему, сочетающую USR с страховым слоем RLP.
До атаки рыночная капитализация USR снизилась с примерно 400 миллионов долларов в начале февраля до около 100 миллионов. Токен управления RESOLV упал примерно на 8,5% после инцидента.
Тенденции DeFi в 2026 году
Инцидент с Resolv добавляется к растущему числу крипто-эксплойтов в начале 2026 года:
Январь 2026: Truebit потерял 26,6 миллиона долларов после атаки на уязвимость смарт-контракта, развернутого пять лет назад
Январь 2026: Makina Finance потеряла около 5 миллионов долларов из-за атаки с флеш-лоаном и манипуляции оракулом
Отчет Immunefi, опубликованный на прошлой неделе, показал, что средний взлом криптовалюты стоит около 25 миллионов долларов, а пять крупнейших эксплойтов 2024–2025 годов составили 62% всех украденных средств.
Регуляторный контекст
Время атаки совпало с активными дебатами в США о регулировании стейбкоинов с доходностью по закону GENIUS. Американская ассоциация банкиров предупредила, что такие продукты могут отвлечь депозиты от традиционных банков, а ключевые сенаторы достигли «принципиального соглашения» по вопросу о регулировании доходности стейбкоинов 20 марта 2026 года.
Часто задаваемые вопросы
Как работала уязвимость Resolv USR?
Злоумышленник использовал уязвимость в контракте эмиссии USR, где привилегированная роль (SERVICE_ROLE) контролировалась одним внешним аккаунтом без лимитов, проверки оракула или проверки суммы. Он внес 100 000 USDC и получил 50 миллионов USR (в 500 раз больше ожидаемого), затем создал еще 30 миллионов USR во второй транзакции, всего около 80 миллионов необеспеченных токенов.
Потерял ли Resolv залоговую поддержку?
Resolv Labs заявил, что их залоговый пул «остается полностью целым» и «не потерял никаких активов». Однако это утверждение недооценивает ущерб, поскольку атака привела к инфляции предложения, а не прямому краже залоговых активов. Создание 80 миллионов новых токенов разбавило существующий запас USR, а продажа злоумышленником уничтожила ликвидность пула, что вызвало немедленные убытки для держателей USR.
Каков общий финансовый ущерб от уязвимости?
Злоумышленник извлек примерно 25 миллионов долларов, конвертировав созданные USR в 11 409 ETH (примерно 23,7 миллиона долларов) и удерживая дополнительно 1,1 миллиона долларов в обернутых USR токенах. Владельцы USR понесли убытки из-за разбавления предложения, а платформы DeFi, использующие USR в качестве залога, столкнулись с утечками ликвидности, поскольку трейдеры эксплуатировали дезпривязку для заимствования под завышенные оценки.
