Hack Resolv углубляет последствия для DeFi, так как появляются критические риски стейблкойна

Крупная уязвимость в системе эмиссии стейблкоинов USR Resolv вызвала взлом платформы, что привело к серьезным сбоям на рынке в нескольких взаимосвязанных DeFi-платформах.

Как развивался взлом USR

В воскресенье злоумышленник нацелен на инфраструктуру эмиссии USR Resolv и создал примерно 80 миллионов неподдерживаемых токенов, в результате чего было украдено около 25 миллионов долларов в ETH. Этот инцидент подчеркнул, как одна слабость в логике эмиссии стейблкоина может привести к более широкому кризису на рынке.

Злоумышленник начал активные действия около 2:21 по всемирному времени, когда он внес 100 000 USDC в контракт USR Counter Resolv. В ответ он получил аномальные 50 миллионов USR — примерно в 500 раз больше легитимной суммы. Позже была проведена еще одна транзакция, в результате которой было создано дополнительно 30 миллионов токенов. В совокупности эти действия увеличили предложение USR без соответствующего обеспечения.

После несанкционированной эмиссии злоумышленник систематически обменивал фальшивые USR на USDC и USDT на нескольких децентрализованных биржах. Кроме того, он консолидировал полученные средства в ETH. Согласно данным блокчейна, на его кошельке сейчас хранится 11 409 ETH, что по текущим ценам составляет примерно 23,7 миллиона долларов.

Жесткое снижение курса USR на Curve и крупные потери для держателей

USR, предназначенный для поддержания курса в $1, практически мгновенно обвалился. Всего через 17 минут после первого аномального эмитирования токен упал до $0,025 на Curve Finance. Однако цена вскоре частично восстановилась и достигла около $0,85, хотя и оставалась значительно отстраненной от паритета в течение утра воскресенья.

Resolv Labs объявила в X о приостановке всех операций протокола. Команда подчеркнула, что пул обеспечения «остается полностью целым» и заявила, что «никакие основные активы» не были скомпрометированы, объясняя проблему как «изолированную к механике эмиссии USR». Тем не менее, реакция рынка показала, что пользователи не были полностью уверены в безопасности.

Аналитики блокчейна быстро отметили, что основное ущерб понесли текущие держатели USR. Внезапное поступление 80 миллионов новых токенов значительно разбавило обращающуюся массу. Более того, агрессивные продажи злоумышленника исчерпали ликвидность в доступных пулах. Инвесторы, удерживавшие USR во время инцидента, понесли немедленные и значительные потери.

Уязвимость привилегированного аккаунта протокола и меры защиты эмиссии

Специалисты по безопасности вскоре проследили источник взлома до критических контрольных точек доступа. Аналитик по безопасности блокчейна Эндрю Хон выявил, что уязвимость возникла из-за привилегированного аккаунта, обозначенного как SERVICE_ROLE. Этот очень чувствительный аккаунт, предположительно, управлялся одним внешним аккаунтом, а не более защищенной мультиподписной структурой.

Сообщается, что контракт эмиссии USR лишен ключевых защит, таких как надежная проверка оракула, правильная валидация суммы и максимальные лимиты эмиссии. Однако эта слабость в дизайне могла взаимодействовать с более глубокой операционной ошибкой — раскрытием привилегированных учетных данных. Инцидент подчеркнул, как роли управления могут стать единственными точками отказа, если не принять меры по их укреплению.

Компания по безопасности Pashov, которая ранее проводила аудит модуля стекинга Resolv в июле 2025 года, заявила Cointelegraph, что корень проблемы, по всей видимости, связан с компрометацией приватного ключа, а не с ошибкой архитектурного проекта. Тем не менее, компания подчеркнула, что даже хорошо проверенные протоколы остаются уязвимыми, если управление ключами и операционная безопасность не соблюдаются строго.

Генеральный директор Cyvers Дедди Лавид предупредил, что одних аудитов недостаточно. «Аудиты — это хорошо, но если вы не отслеживаете эмиссию и предложение в реальном времени, вы слепы, когда это особенно важно», — подчеркнул он, отметив необходимость постоянного автоматизированного мониторинга привилегированных действий.

Обширные аудиты, программы поиска ошибок и пробелы в мониторинге в реальном времени

Официальная документация Resolv перечисляет 14 аудиторских проверок, проведенных пятью разными компаниями по безопасности. Проект также рекламирует программу поиска ошибок с вознаграждением в 500 000 долларов на Immunefi, а также системы постоянного мониторинга смарт-контрактов. Однако успешный взлом показывает, что даже при значительных инвестициях в безопасность одна операционная ошибка может привести к катастрофическим последствиям.

Эксперты отрасли отметили, что масштаб потерь соответствует общим тенденциям. Недавний отчет Immunefi показал, что средний взлом криптовалюты наносит ущерб примерно в 25 миллионов долларов. Более того, пять крупнейших взломов 2024–2025 годов составили 62% от общего украденного сектора стоимости, что подчеркивает устойчивую концентрацию рисков.

На этом фоне взлом Resolv служит примером ограничений предварительных аудитов и программ поиска ошибок. Постоянный мониторинг в блокчейне, усиленное управление ключами и строгий контроль привилегированных ролей становятся все более необходимыми для предотвращения подобных инцидентов.

Эффекты распространения DeFi и реакции платформ

Взлом быстро распространился по всему экосистеме DeFi. Многие платформы начали оценивать и снижать свою уязвимость к USR и связанным активам. Кроме того, они публиковали обновления, чтобы снизить панические настроения пользователей и предотвратить дальнейшее системное напряжение.

Lido подтвердил, что средства пользователей, вложенные в Lido Earn, остались в безопасности и не были напрямую затронуты инцидентом. Основатель Aave Стани Кулечов заявил, что протокол кредитования не имел прямого воздействия USR. Он также отметил, что Resolv активно погашает задолженность, что свидетельствует о скоординированных усилиях по сдерживанию последствий.

На платформе Morpho соучредитель Мерлин Эгалите уточнил, что только отдельные сейфы имели воздействие USR, а не вся платформа. Однако эти риски все равно создавали сложности для отдельных пулов и их поставщиков ликвидности, что вызвало быстрое обновление правил управления и параметров риска.

Займы с использованием заемных средств и давление на рынки кредитования

И USR, и его стейкинговый производный wstUSR были одобрены в качестве залога на нескольких протоколах, включая Morpho и Gauntlet. Аналитики сообщили, что спекулятивные трейдеры покупали USR по заниженной цене и использовали его в качестве залога, занимая USDC по почти полной стоимости в $1.

Эта стратегия создала опасное несоответствие между рыночной ценой и оценкой залога. В результате, уязвимые сейфы начали терять свои резервы в стабильных монетах, а реальная стоимость залога, поддерживающего эти кредиты, уже обвалилась. Однако системы оценки рисков и оракулы на некоторых платформах могут со временем скорректировать ситуацию, чтобы снизить долгосрочные потери.

Токен младшей страховки Resolv, RLP, также может столкнуться с ухудшением капитала. Stream Finance, владеющая около 13,6 миллиона RLP на сумму примерно 17 миллионов долларов, может передать дополнительные убытки своим вкладчикам. Кроме того, в ноябре 2025 года компания ранее сообщила о потерях в 93 миллиона долларов, что вызывает опасения по поводу накапливающихся рисков для пользователей.

В ближайшие часы цена на токен RESOLV снизилась примерно на 8,5% за 24 часа. Это падение отражает как опасения по поводу платежеспособности протокола, так и более широкие сомнения в архитектуре безопасности и операционной устойчивости платформы.

Общие последствия уязвимости в эмиссии USR

Взлом Resolv, вызванный уязвимостью стейблкоина USR, показывает, как сочетание компрометации привилегированного аккаунта и недостаточного мониторинга в реальном времени может подорвать даже хорошо подготовленные системы безопасности. Более того, он подчеркивает, что события де-пейга на крупных ликвидных площадках могут быстро нанести ущерб всему кредитованию, стекингу и страховым слоям.

В будущем эмитенты стейблкоинов и протоколы DeFi, вероятно, столкнутся с новым вниманием к управлению ключами, проверке залога и мониторингу рисков в блокчейне. В целом, инцидент Resolv служит жестким напоминанием отрасли: без надежных механизмов контроля за эмиссией и привилегированным доступом даже самые тщательно проверенные системы могут потерпеть катастрофический крах.