Я щойно прочитав про досить серйозний випадок, що стався з Протоколом Resolv кілька місяців тому, і вважаю, що варто про це згадати. У березні 2025 року підтвердили, що вони зазнали хакерської атаки, під час якої хтось зміг створити $80 мільйонів токенів USR без дозволу. Найдивніше те, що фактичні підтверджені втрати були набагато меншими — близько $500К, але інцидент висвітлює щось, що багато хто недооцінює.

Що сталося, так це те, що зловмисники отримали доступ до приватного ключа з правами на створення токенів. З цим у руках вони просто створили 80 мільйонів токенів USR з нічого. Команда Resolv швидко відреагувала, одразу зупинила смарт-контракт і спалила приблизно 9 мільйонів цих фальшивих токенів. Вони фактично зупинили поширення шкоди до того, як усе могло погіршитися.

Цікаво, що аналіз показує: це не було помилкою у коді самого смарт-контракту. Це був злом інфраструктури off-chain, яка контролює адміністративні привілеї. Саме тут криється ключовий момент: безпека приватних адміністративних ключів — критично важлива і багато хто її недооцінює. Одна скомпрометована ключова може зруйнувати цілий протокол.

Експерти з безпеки вже роками говорять одне й те саме: потрібні мультифід, апаратні модулі безпеки (HSM), регулярна ротація ключів. Можливо, протокол Resolv став жертвою цільового фішингу, шкідливого програмного забезпечення на машинах розробників або чогось подібного. Точно, як саме витягнули ключ, ми не знаємо, але саме це має з’ясувати судова експертиза.

Що стосується USR, то це алгоритмічно стабільна монета, на відміну від USDC або DAI, які мають забезпечення. Вона залежить від алгоритмічних механізмів і ліквідності протоколу для підтримки ціни. Коли раптово з’являється 80 мільйонів токенів без забезпечення, тиск на продаж стає дуже сильним. Саме тому екстрена реакція була такою критичною.

Порівнюючи з іншими відомими хакерськими атаками у DeFi: Poly Network втратив $611M у 2021 році, Wormhole Bridge — $326M у 2022, Ronin Bridge — $625M також у 2022. У цьому контексті, що Resolv обмежила втрати до $500K , свідчить про хорошу оперативну реакцію, хоча й не заперечує факту, що злом стався.

Що я вважаю важливим підкреслити, так це те, що це сталося у час, коли регулятори вже уважно стежили за стабільними монетами. Подібні інциденти дають їм привід посилити контроль. Деякі вважають це доказом того, що децентралізовані системи потребують більшого захисту, інші ж стверджують, що саме прозорість і швидкість реагування у блокчейні — їхня перевага.

Для ширшої екосистеми DeFi це ще раз підкреслює очевидну, але часто забуту істину: технологічні інновації без надійної операційної безпеки — це катастрофа. Можливо, у майбутньому з’являться більш просунуті системи моніторингу, автоматичні аварійні механізми, що виявлятимуть аномалії ще до того, як їх помітить людина.

Урок з хакінгу протоколу Resolv простий: аудити смарт-контрактів необхідні, але недостатні. Безпека інфраструктури, управління ключами, операційні процедури — все це так само критично. Якщо ви створюєте протокол із найкращим кодом у світі, але ваш приватний ключ зберігається на пост-it, ви ризикуєте.