Обменяли 200 тысяч на почти 100 миллионов, стейблкоины DeFi снова подверглись атаке

Автор: Эрик, Foresight News

Сегодня примерно в 10:21 по пекинскому времени Resolv Labs, использующая стратегию Delta нейтраль для выпуска стабильной монеты USR, подверглась хакерской атаке. Адрес с префиксом 0x04A2 с помощью 100 000 USDC создал в протоколе Resolv Labs 50 миллионов USR.

После раскрытия инцидента цена USR упала примерно до 0,25 доллара, а к моменту написания статьи восстановилась до около 0,8 доллара. В краткосрочной перспективе цена RESOLV также снизилась почти на 10%.

Затем хакер повторил операцию, снова используя 100 000 USDC для создания 30 миллионов USR. В связи с сильным расхождением USR с долларом арбитражные трейдеры быстро среагировали: многие кредитные рынки на Morpho, поддерживающие залог в USR, wstUSR и других, практически опустошены, а Lista DAO на BNB Chain приостановила новые заявки на заимствование.

Пострадали не только эти кредитные протоколы. В конструкции протокола Resolv Labs пользователи также могут создавать RLP — токен с более высокой волатильностью и доходностью, но при этом несущие ответственность за компенсацию убытков протоколу. В настоящее время в обращении около 30 миллионов RLP, крупнейший держатель — Stream Finance с более чем 13 миллионами RLP, что создает чистый риск примерно в 17 миллионов долларов.

Да, ранее Stream Finance уже пострадала от краха xUSD, и теперь, похоже, ей грозит новый удар.

К моменту написания статьи хакеры обменяли USR на USDC и USDT и продолжают покупать эфир, уже приобретя более 10 000 ETH. Используя 200 000 USDC, они вывели активы на сумму свыше 20 миллионов долларов. В условиях медвежьего рынка хакеры нашли свою «стратегию» — «стабильную монету» с доходностью в сотни раз выше.

Еще один случай «недосмотра», ставший лазейкой

В октябре прошлого года крупный обвал привел к тому, что многие стабильные монеты, выпущенные с помощью стратегии Delta нейтраль, потеряли залоговые активы из-за автоматического снижения плеча (ADL). Проекты, использующие альткоины в качестве активов, понесли еще большие потери и даже ушли с рынка.

На этот раз атака на Resolv Labs также связана с механизмом выпуска USR, основанным на похожей схеме. Проект в апреле 2025 года объявил о завершении раунда посевного финансирования в размере 10 миллионов долларов с участием Cyber.Fund, Maven11 и Coinbase Ventures, а в конце мая — начале июня запустил токен RESOLV.

Однако причина атаки — не экстремальные рыночные условия, а недостаточная строгость механизма выпуска USR.

На данный момент ни одна безопасная компания, ни официальные источники не проанализировали причины инцидента. Сообщество DeFi YAM пришло к предварительному выводу, что атака, скорее всего, связана с тем, что SERVICE_ROLE, используемая для предоставления параметров для выпуска, была взломана.

По данным Grok, при создании USR пользователь инициирует запрос на цепочке и вызывает функцию requestMint контракта, передавая параметры:

_depositTokenAddress — адрес залоговой монеты;

_amount — сумма залога;

_minMintAmount — минимальное ожидаемое количество USR (защита от проскальзывания).

Затем пользователь вносит USDC или USDT в контракт, а бэкэнд проекта — SERVICE_ROLE — отслеживает запросы, используя оракул Pyth для проверки стоимости внесенных активов. После этого вызываются функции completeMint или completeSwap, определяющие фактическое количество USR, которое будет создано.

Проблема в том, что контракт полностью доверяет _mintAmount, предоставляемому SERVICE_ROLE, считая, что эта цифра проверена вне цепочки через Pyth, и не устанавливает лимит на выпуск или дополнительную проверку оракулом. В результате вызывается mint(_mintAmount) без ограничений.

На основании этого YAM предполагает, что злоумышленник взял под контроль SERVICE_ROLE (возможно, из-за сбоя внутреннего оракула, внутреннего злоупотребления или кражи ключей), и при выпуске установил _mintAmount равным 50 миллионам, что позволило создать 50 миллионов USR за 100 000 USDC.

В конечном итоге Grok заключает, что при проектировании протокола Resolv Labs не учли возможность того, что адрес (или контракт), получающий запросы на выпуск, может быть взломан. При отправке запроса на выпуск USR в последний контракт не установлены ограничения по максимальному количеству, и не проводится вторичная проверка через цепочные оракулы — протокол полностью доверяет параметрам, предоставленным SERVICE_ROLE.

Меры предосторожности оказались недостаточными

Помимо предположений о причине взлома, YAM указала на недостаточную подготовку проекта к кризисным ситуациям.

В X YAM отметила, что Resolv Labs отключила протокол только через три часа после первого взлома, при этом примерно час ушел на сбор четырех подписей для мультиподписанных транзакций. YAM считает, что для экстренной остановки достаточно одной подписи, а полномочия должны быть распределены между командой или доверенными внешними операторами, чтобы повысить оперативность реагирования и учитывать разные часовые пояса.

Хотя идея о необходимости одноподписного быстрого отключения кажется рискованной, в реальности задержки из-за необходимости получения нескольких подписей в разных часовых поясах могут привести к серьезным последствиям. В качестве урока — привлечение доверенных сторон, постоянно мониторящих цепочку, или использование специальных инструментов с правами на экстренное отключение — важные меры для предотвращения подобных инцидентов.

Атаки на DeFi-протоколы давно выходят за рамки уязвимостей контрактов. Инцидент Resolv Labs подчеркивает, что в вопросах безопасности протокола нельзя доверять ни одному звену: все параметры должны проходить как минимум двойную проверку, даже если речь идет о внутренней инфраструктуре проекта.