Я щойно проаналізував досить серйозний випадок, що трапився нещодавно у просторі DeFi і який, ймовірно, багато хто проігнорував. Протокол Resolv зазнав значної хакерської атаки 21 березня 2025 року, коли хтось зміг зламати приватний ключ і створити $80 мільйонів токенів USR без дозволу. Цікаво, як команда відреагувала, але також тривожно, що це сталося взагалі.

Технічно те, що сталося, було досить просто: зловмисник отримав доступ до приватного ключа з дозволами на емісію і просто створив 80 мільйонів стабількоінів USR з нічого. Протокол швидко виявив аномальну активність і зупинив смарт-контракти, тож шкода була обмежена. Вони провели спалювання токенів, щоб знищити приблизно 9 мільйонів фальшивих USR. В кінці підтверджена втрата склала близько $500,000, що значно менше за $80 мільйонів створених, але все одно суттєво.

Мене здивувало, що це не було помилкою самого коду смарт-контракту. Це цілком була проблема зовнішньої інфраструктури. Приватний ключ був скомпрометований якимось чином, і цього вистачило, щоб усе зруйнувати. Це жорстке нагадування, що безпека у блокчейні — це не лише аудит коду. Це про те, як захищаєш свої адміністративні ключі, системи доступу, весь операційний стек.

USR — це алгоритмічний стабількоін без забезпечення, що означає, що він залежить від складніших механізмів для підтримки своєї ціни. Це не як USDC або DAI, які мають пряме резервування. Коли раптово з’являється 80 мільйонів нових токенів без активів під ними, тиск на ціну очевидний. Саме тому швидка реакція команди була такою критичною. Якби вони не зупинили все одразу, ми, ймовірно, побачили б колапс ціни, подібний до того, що трапився з іншими алгоритмічними стабількоінами раніше.

Експерти кажуть, що це можна було запобігти стандартними практиками безпеки: мультипідписними гаманцями, модулями апаратної безпеки, регулярною ротацією ключів. Одинична точка відмови, як викрадення ключа, не повинна могла зламати весь протокол. Здається, Resolv не мав таких контролів або принаймні не у потрібному обсязі.

Що стосується більш широкого впливу, цей хак підкреслює, що регулятори вже досить активно тиснуть на стабількоіни. Інциденти на кшталт цього дають їм саме той аргумент, що потрібен для посилення контролю. Але також варто визнати, що прозорість і швидкість реагування у публічному блокчейні — це те, чого не можуть забезпечити традиційні фінанси. Resolv повідомив про інцидент публічно, зупинив контракт, спалив токени. Все сталося у реальному часі.

Для екосистеми DeFi загалом це підкреслює, чому операційна безпека так важлива, як і технічні інновації. Протоколи з управлінням казною у мережі та децентралізованими механізмами реагування, ймовірно, будуть більш стійкими. Можливо, ми побачимо більше інструментів моніторингу у реальному часі та автоматичних дисюнкторів у майбутньому — систем, що виявляють аномальні транзакції і автоматично реагують без очікування людського втручання.

Поточне розслідування, ймовірно, зосередиться на тому, як було викрадено цей приватний ключ. Фішинг, шкідливе програмне забезпечення, компрометований хмарний сховищ, внутрішні загрози — існує кілька можливих векторів. Важливо зараз, щоб Resolv був максимально прозорим щодо того, що пішло не так і як вони планують виправити ситуацію. Користувачам USR і пов’язаних токенів рекомендують утриматися від торгів поки тривають заходи з відновлення.

Цей хак буде детально вивчений фахівцями з безпеки, оскільки він містить цінні уроки. Інновації у криптовалютах мають йти поруч із високим рівнем операційної безпеки. Недостатньо лише мати аудитований код, якщо ваші адміністративні ключі під загрозою. Це нагадування, що у блокчейні незмінність працює у двох напрямках: як для легітимних транзакцій, так і для шахрайських.