في 22 مارس 2026، استغل مهاجم ثغرة في عقد سك USR المستقر الخاص بـ Resolv، مما أدى إلى إنشاء حوالي 80 مليون رمز غير مدعوم من أصل حوالي 200,000 دولار من USDC وسحب ما يُقدر بـ 25 مليون دولار، مما تسبب في هبوط سعر USR إلى 0.025 دولار على Curve قبل أن يتعافى جزئياً ليصل إلى حوالي 0.85 دولار.
نشأت الثغرة من دور سك مميز يتحكم فيه حساب خارجي واحد (EOA) بدون حدود للسك أو تحقق من السعر عبر أوتار، مما سمح للمهاجم بسك 50 مليون USR في معاملة واحدة و30 مليون في أخرى. أوقفت Resolv Labs جميع وظائف البروتوكول بعد الحادث وأكدت أن مجمع الضمانات الخاص بها “لا يزال سليماً تماماً” وأن “لا أصول أساسية” قد فُقدت، رغم أن حاملي USR الحاليين تكبدوا خسائر فورية نتيجة لتخفيف العرض.
قام المهاجم بتحويل العملات المستقرة المصدرة إلى حوالي 11,409 ETH (بقيمة تقريبية 23.7 مليون دولار) ويحتفظ بمبلغ إضافي قدره 1.1 مليون دولار من رموز USR المغلفة.
آليات الهجوم والثغرات التقنية
جدول زمني للهجوم
بدأ الهجوم حوالي الساعة 2:21 صباحاً بالتوقيت العالمي في 22 مارس، حيث أظهرت المعاملة الأولى أن المهاجم أودع 100,000 USDC في عقد USR Counter الخاص بـ Resolv وتلقى مقابل ذلك 50 مليون USR — أي حوالي 500 مرة أكثر من المتوقع. ثم قام بمعاملة ثانية بسك 30 مليون USR إضافية. خلال 17 دقيقة من أول عملية سك، انخفض سعر USR إلى 0.025 دولار على أكثر برك Curve سيولة.
السبب الجذري: ضعف ضوابط الوصول
نسب المحلل على السلسلة أندرو هونغ الاختراق إلى دور SERVICE_ROLE في البروتوكول، وهو حساب مميز ينفذ طلبات المبادلة. من الثغرات الحرجة:
سيطرة حساب خارجي واحد: كان CONTROL على SERVICE_ROLE بواسطة حساب خارجي عادي بدلاً من محفظة متعددة التوقيعات
عدم وجود حدود للسك: لم يكن هناك حد أقصى للسك في عقد السك
عدم وجود تحقق من السعر عبر أوتار: لم تُطبق فحوصات أوتار للتحقق من التسعير أو دعم الضمانات
عدم وجود تحقق من المبالغ: لا يوجد تحقق بين طلبات السك وإكمالها
وضحت شركة D2 Finance، المختصة بصناديق التمويل اللامركزي، ثلاثة تفسيرات محتملة للثغرة: تلاعب في الأوتار، اختراق الموقع الخارجي الموقع، أو غياب التحقق من المبالغ بين طلب السك وإتمامه.
سياق ما بعد الاختراق الأمني
روج موقع Resolv لوجود 14 تدقيق أمني من خمس شركات، ومكافأة أخطاء بقيمة 500,000 دولار من Immunefi، ورصد مستمر للعقود الذكية. على الرغم من هذه التدابير، بقي البروتوكول عرضة لما يصفه خبراء الأمن بأنه “نقطة عمياء” في التغطية الأمنية — مفاتيح وبيانات اعتماد حساسة لا تمتلك أصولاً مباشرة، لكنها يمكن أن تُستخدم للوصول إليها.
قال إيدو سوفير، المدير التنفيذي لشركة Sodot لإدارة المفاتيح: “هذا يتصل باتجاه متزايد من الهجمات التي تركز على النقاط العمياء في فرق الأمن - المفاتيح وبيانات الاعتماد الحساسة التي لا تمتلك الأموال مباشرة، لكنها يمكن أن تُستخدم للوصول إليها.”
التأثير السوقي وخسائر المستخدمين
انهيار واسترداد سعر USR
انخفض سعر USR، وهو عملة مستقرة مربوطة بالدولار وتستخدم استراتيجية تحوط محايدة من حيث التغيرات السعرية مدعومة بـ ETH و BTC بدلاً من احتياطيات نقدية، إلى 0.025 دولار على Curve خلال 17 دقيقة من أول عملية سك. ثم تعافى إلى حوالي 0.85 دولار، لكنه لم يستعد ربطه حتى صباح الأحد.
السيولة والأضرار الضخمة
خلق الهجوم 80 مليون رمز جديد، مما أدى إلى تخفيف العرض الحالي. قام المهاجم ببيع USR المصدرة مقابل USDC وUSDT وأخيراً ETH، مما قضى على سيولة البركة. أي شخص كان يمتلك USR وقت الاختراق تكبد خسائر فورية.
تسربت عملية فك الربط إلى أسواق الإقراض اللامركزية. قبل الهجوم، قبلت منصات مثل Morpho وGauntlet USR ورموز USR المكدسة كضمانات. ووفقاً لتقارير، اشترى متداولون استغلاليون USR بسعر السوق المخفض واقترضوا USDC ضده بقيمة ثابتة 1 دولار، مما استنزف سيولة العملات المستقرة من الصناديق المتأثرة.
تعرض طبقة التأمين RLP
قد يمتد الضرر إلى الطبقة الثانوية في Resolv، وهي Resolv Liquidity Pool (RLP)، التي تعمل كطبقة تأمين تمتص الخسائر لحماية حاملي USR. أشار YieldsAndMore إلى أن RLP كان لديه حوالي 38.6 مليون دولار من المعروض قبل الاختراق. أكبر حامل لـ RLP هو Stream Finance، وهو بروتوكول عائدات كشف عن خسارة قدرها 93 مليون دولار في نوفمبر 2025 بعد أن استولى مدير صندوق خارجي على الأصول. تمتلك Stream حصة RLP بقيمة 13.6 مليون على منصة Morpho، تمثل تقريباً 17 مليون دولار من التعرض الصافي، مما يعني أن المودعين قد يواجهون خسارة كبيرة أخرى.
خلفية البروتوكول وسياق الصناعة
نظرة عامة على Resolv
أسسته شركة Resolv في أبوظبي، وجمعت 10 ملايين دولار في جولة تمويل أولي في أبريل 2025 بقيادة Cyber.Fund و Maven11، بمشاركة Coinbase Ventures و Arrington Capital و Animoca Ventures. تم حاضنته عبر Delphi Labs، وقدم عوائد من خلال استراتيجيات arbitrage لمعدلات التمويل ونظام ذو طبقتين يربط USR بطبقة التأمين RLP التي تتحمل المخاطر.
قبل الهجوم، انخفضت القيمة السوقية لـ USR من حوالي 400 مليون دولار في أوائل فبراير إلى حوالي 100 مليون دولار. انخفضت قيمة رمز الحوكمة الخاص بـ RESOLV بنحو 8.5% بعد الاختراق.
اتجاهات الاختراقات في DeFi لعام 2026
تضيف حادثة Resolv إلى سلسلة متزايدة من الاختراقات في العملات المشفرة في أوائل 2026:
يناير 2026: خسرت Truebit 26.6 مليون دولار بعد أن استهدف مهاجم ثغرة في عقد ذكي تم نشره منذ خمس سنوات
يناير 2026: خسرت Makina Finance حوالي 5 ملايين دولار من تجمع العملات المستقرة بعد هجوم تلاعب في أوتار القروض الفورية
وجد تقرير Immunefi الذي نُشر الأسبوع الماضي أن متوسط تكلفة الاختراقات في العملات المشفرة الآن حوالي 25 مليون دولار، وأن أكبر خمسة اختراقات في 2024-2025 شكلت 62% من جميع الأموال المسروقة.
السياق التنظيمي
تزامن الاختراق مع مناقشات تشريعية نشطة في الولايات المتحدة حول تنظيم العملات المستقرة ذات العائد، بموجب قانون GENIUS. حذرت الجمعية الأمريكية للمصارف من أن مثل هذه المنتجات قد تجذب الودائع بعيداً عن البنوك التقليدية، ووقع عدد من السيناتورات اتفاقاً مبدئياً بشأن معاملة عوائد العملات المستقرة في 20 مارس 2026.
الأسئلة الشائعة
كيف عمل استغلال Resolv USR؟
استغل المهاجم ثغرة في عقد سك USR حيث كان دور مميز (SERVICE_ROLE) يتحكم فيه حساب خارجي واحد بدون حدود للسك، أو تحقق من السعر عبر أوتار، أو فحوصات للمبالغ. قام المهاجم بإيداع 100,000 USDC وتلقى مقابل ذلك 50 مليون USR (أي 500 ضعف المتوقع)، ثم سك 30 مليون USR إضافية في معاملة ثانية، مما أنشأ حوالي 80 مليون رمز غير مدعوم.
هل فقدت Resolv دعم الضمانات الخاص بها؟
صرحت Resolv Labs أن مجمع الضمانات الخاص بها “لا يزال سليماً تماماً” وأن “لا أصول أساسية” قد فُقدت. لكن هذا التصريح يقلل من حجم الضرر، لأن الهجوم كان من نوع تضخم العرض وليس سرقة مباشرة للأصول الداعمة. أدى إصدار 80 مليون رمز جديد إلى تخفيف عرض USR الحالي، وبيع المهاجم USR المصدرة قضى على سيولة البركة، مما سبب خسائر فورية لحاملي USR.
ما هو الأثر المالي الإجمالي للاختراق؟
استولى المهاجم على حوالي 25 مليون دولار، حيث حول USR المصدرة إلى 11,409 ETH (بقيمة تقريبية 23.7 مليون دولار) ويحتفظ بمبلغ إضافي قدره 1.1 مليون دولار من رموز USR المغلفة. واجه حاملو USR خسائر من خلال تخفيف العرض، وتعرضت منصات الإقراض اللامركزية التي تقبل USR كضمانات لتسرب السيولة مع استغلال المتداولين لانفصال الربط للاقتراض بقيم مرتفعة على تقييمات مبالغ فيها.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
