Я только что прочитал о довольно серьезном инциденте, произошедшем с протоколом Resolv несколько месяцев назад, и считаю, что стоит об этом рассказать. В марте 2025 года подтвердили, что их взломали, и злоумышленник смог без разрешения создать $80 миллионов токенов USR. Что удивительно, так это то, что фактические подтвержденные потери оказались значительно меньшими — около 500 тысяч долларов, но этот инцидент показывает то, что многие недооценивают.

Что произошло, так это то, что злоумышленники получили доступ к приватному ключу с правами на создание токенов. Имея его, они просто создали 80 миллионов токенов USR из ничего. Команда Resolv быстро среагировала, немедленно остановила смарт-контракт и сожгла примерно 9 миллионов этих мошеннических токенов. По сути, они ограничили ущерб до того, как случилось что-то более серьезное.

Теперь, что интересно в анализе, так это то, что это не было ошибкой в самом коде смарт-контракта. Это был взлом инфраструктуры вне цепочки (off-chain), которая управляет административными привилегиями. Вот в чем ключевой момент: безопасность приватных административных ключей — критически важный аспект, который многие недооценивают. Одна скомпрометированная ключевая пара может разрушить целый протокол.

Эксперты по безопасности уже много лет говорят одно и то же: нужны мультиподписи, аппаратные модули безопасности (HSM), регулярная ротация ключей. Вероятно, протокол Resolv стал жертвой целенаправленного фишинга, вредоносного ПО на машинах разработчиков или чего-то подобного. Точно, как именно злоумышленники получили доступ к ключу, мы пока не знаем, это должно выяснить судебное расследование.

Что касается USR, это алгоритмический стейбкоин, не такой, как USDC или DAI, у которых есть залог. Он зависит от алгоритмических механизмов и ликвидности протокола для поддержания цены. Когда внезапно появляется 80 миллионов токенов без обеспечения, давление на продажу становится очень сильным. Поэтому чрезвычайные меры реагирования были так важны.

Если сравнить с другими заметными взломами в DeFi: Poly Network потерял $611M в 2021 году, мост Wormhole $326M в 2022, мост Ronin $625M тоже в 2022. В этом контексте ограничение потерь Resolv до $500K говорит о хорошей операционной реакции, хотя и не отменяет факта, что взлом произошел.

Важно подчеркнуть, что это случилось в момент, когда регуляторы уже пристально следили за стейбкоинами. Такие инциденты дают им повод требовать более строгого надзора. Некоторые считают это доказательством того, что децентрализованные системы нуждаются в большей защите, другие же утверждают, что именно прозрачность и быстрая реакция в блокчейне — их преимущество.

Для более широкого экосистемы DeFi это подтверждает очевидное, но часто забываемое: технологические инновации без надежной операционной безопасности — это катастрофа. В будущем, вероятно, появятся более продвинутые системы мониторинга, автоматические аварийные отключатели (circuit breakers), которые смогут обнаруживать аномалии до того, как потребуется вмешательство человека.

Урок взлома протокола Resolv ясен: аудит смарт-контрактов необходим, но недостаточен. Безопасность инфраструктуры, управление ключами, операционные процедуры — все это не менее важно. Если вы создаете протокол с лучшим кодом в мире, но ваш приватный ключ хранится на стикере, у вас большие проблемы.