Resolv USR Stablecoin відійшла від паритету після того, як зловмисник випустив 80 мільйонів необеспечених токенів при експлуатації контракту

Зловмисник використав уразливість у смарт-контракті для емісії стабількоїна Resolv USR 22 березня 2026 року, створивши приблизно 80 мільйонів непідкріплених токенів на суму близько $200 000 у USDC та вивівши орієнтовно $25 мільйонів, що спричинило падіння USR до $0.025 на Curve перед частковим відновленням до приблизно $0.85.

Злом стався через привілейовану роль емісії, якою керував один зовнішній обліковий запис (EOA) без обмежень на емісію або перевірки оракула, що дозволило зловмиснику створити 50 мільйонів USR за одну транзакцію та ще 30 мільйонів у інший. Resolv Labs призупинили всі функції протоколу після інциденту та заявили, що їхній пул застави “залишився цілком цілісним” і “жодних основних активів” не втрачено, хоча існуючі власники USR зазнали негайних збитків через розбавлення пропозиції.

Зловмисник конвертував створені стабількоїни у приблизно 11 409 ETH (вартістю близько $23.7 мільйонів) та має додатково $1.1 мільйон у обгорнутих USR токенах.

Механіка атаки та технічні уразливості

Хронологія зломів

Атака почалася близько 2:21 ранку за UTC 22 березня, перша транзакція показала, що зловмисник внесли 100 000 USDC у контракт Resolv USR Counter і отримали у відповідь 50 мільйонів USR — приблизно у 500 разів більше за очікувану кількість. У другій транзакції було створено ще 30 мільйонів USR. За 17 хвилин після першого емісії USR впала до $0.025 на найбільш ліквідному пулі Curve Finance.

Основна причина: слабкий контроль доступу

Аналітик onchain Andrew Hong пояснив злом через роль SERVICE_ROLE, привілейований обліковий запис, який виконує запити на обміни. Ключові уразливості включали:

Контроль одним EOA: ROLE SERVICE_ROLE контролювався стандартним зовнішнім обліковим записом, а не мульти-підписним гаманцем

Відсутність обмежень на емісію: Контракт емісії не мав максимальних лімітів

Відсутність перевірки оракула: Не було реалізовано перевірки цін або застави через оракули

Відсутність валідації кількості: Не було перевірки між запитами на емісію та їх виконанням

DeFi фонд D2 Finance запропонував три можливі пояснення зломів: маніпуляція оракулом, компрометація офф-чейн підписувача або відсутність валідації кількості між запитом і завершенням.

Аналіз безпеки після інциденту

Resolv заявили, що їхній сайт пройшов 14 аудитів від п’яти компаній, отримав бенді Immunefi на $500 000 і постійно моніторить смарт-контракти. Попри ці заходи, протокол залишався вразливим через так звану “сліпу точку” у безпеці — чутливі ключі та облікові дані, які не зберігають активи безпосередньо, але можуть бути використані для доступу до них.

Ідо Софер, CEO компанії Sodot, що займається управлінням ключами, зазначив: “Це пов’язано з зростаючою тенденцією атак, які фокусуються на сліпих зонах безпеки — чутливих ключах і облікових даних, що не зберігають активи безпосередньо, але можуть бути використані для доступу до них.”

Вплив на ринок та збитки користувачів

Падіння та відновлення ціни USR

USR, стабількоїн, прив’язаний до долара і використовує дельта-нейтральну хеджинг-стратегію, підтримувану ETH і BTC, впав до $0.025 на Curve протягом 17 хвилин після першої емісії. Потім він частково відновився до приблизно $0.85, але ще не повернувся до прив’язки станом на неділю вранці.

Ліквідність і збитки через заставу

Злом створив 80 мільйонів нових токенів, що розбавило існуючий запас. Продаж зловмисником створених USR за USDC, USDT і ETH знищив ліквідність пулу. Власники USR під час зломів зазнали негайних збитків.

Знецінення USR спричинило ланцюгову реакцію у ринках DeFi-кредитування. USR і його дериватив wstUSR використовувалися як застави на платформах, таких як Morpho і Gauntlet. Трейдери купували USR за зниженою ціною і позичали USDC під фіксовану оцінку $1, що висмоктало ліквідність із постраждалих сейфів.

Вплив страхового шару RLP

Збитки можуть поширитися на молодший транш Resolv — Resolv Liquidity Pool (RLP), який виконує роль страхової підкладки для захисту власників USR. YieldsAndMore повідомили, що RLP мав близько $38.6 мільйонів у обігу за цінами перед зломом. Найбільший власник RLP — Stream Finance, протокол доходів, який у листопаді 2025 року повідомив про збитки у $93 мільйони через неправомірне привласнення активів зовнішнім менеджером. Stream має позицію RLP на 13.6 мільйонів токенів, що приблизно дорівнює $17 мільйонам чистого ризику, тому його вкладники можуть зазнати ще значних збитків.

Огляд протоколу та галузевий контекст

Огляд Resolv

Resolv, базований в Абу-Дабі, залучив у квітні 2025 року $10 мільйонів на посівне фінансування, очолюване Cyber.Fund і Maven11, з участю Coinbase Ventures, Arrington Capital і Animoca Ventures. Інкубований через Delphi Labs, протокол пропонував дохід через арбітраж ставок і двошаровий механізм, що поєднує USR із страховим шаром RLP, що несе ризики.

Перед зломом ринкова капіталізація USR вже знизилася з приблизно $400 мільйонів у лютому до близько $100 мільйонів. Токен управління RESOLV знизився приблизно на 8.5% після інциденту.

Тенденції DeFi-зломів 2026 року

Інцидент Resolv додається до зростаючої серії крипто-зломів у 2026 році:

Січень 2026: Truebit втратив $26.6 мільйонів після атаки на вразливість у смарт-контракті, створеному п’ять років тому

Січень 2026: Makina Finance втратила близько $5 мільйонів у пулі стабількоїнів через маніпуляцію оракулом під час флеш-займу

Звіт Immunefi, опублікований минулого тижня, показав, що середня вартість крипто-зломів становить близько $25 мільйонів, а п’ять найбільших зломів 2024–2025 років склали 62% усіх викрадених коштів.

Регуляторний контекст

Час зломів співпав із активними законодавчими дебатами у США щодо регулювання стабількоїнів, що приносять дохід, за законом GENIUS. Американська банківська асоціація попередила, що такі продукти можуть відтягнути депозити від традиційних банків, а ключові сенатори 20 березня 2026 року досягли “загальної згоди” щодо оподаткування стабількоїнів із доходом.

Часті запитання

Як працював злом Resolv USR?

Зловмисник використав уразливість у смарт-контракті емісії Resolv, де привілейована роль (SERVICE_ROLE) контролювалася одним зовнішнім обліковим записом без обмежень на емісію, перевірки оракула або перевірки кількості. Він внесли 100 000 USDC і отримали 50 мільйонів USR (у 500 разів більше за очікувану), потім у другій транзакції створили ще 30 мільйонів USR, що призвело до створення приблизно 80 мільйонів непідкріплених токенів.

Чи втратила Resolv свою заставу?

Resolv Labs заявили, що їхній пул застав залишився цілісним і “жодних основних активів” не втрачено. Однак ця заява недооцінює шкоду, оскільки злом стався через інфляцію пропозиції, а не пряме викрадення заставних активів. 80 мільйонів нових токенів розбавили існуючий запас USR, а продаж створених USR зловмисником знищив ліквідність пулу, спричинивши негайні збитки для власників USR.

Який загальний фінансовий вплив злома?

Зловмисник вивів приблизно $25 мільйонів, конвертувавши створені USR у 11 409 ETH (вартістю близько $23.7 мільйонів) і тримаючи додатково $1.1 мільйон у обгорнутих USR токенах. Власники USR зазнали збитків через розбавлення пропозиції, а платформи DeFi, що приймали USR як заставу, зазнали втрат ліквідності через використання знецінення для позик під завищену оцінку.