Resolv Protocol zhakowany: 25 milionów dolarów wyprowadzonych przez lukę w stablecoinie USR

Najważniejsze informacje

• Wyrafinowany atakujący wykorzystał lukę w mechanizmie mintowania USR w Resolv, generując około 80 milionów tokenów bez pokrycia z początkowego depozytu wynoszącego zaledwie 200 000 USD w USDC
• Haker pomyślnie wydobył 11 409 ETH o wartości około 25 milionów USD
• Wartość USR spadła do 0,025 USD na Curve Finance, zanim nastąpiło częściowe odbicie do około 0,85 USD
• Resolv zawiesiło wszystkie operacje protokołu; chociaż zespół twierdzi, że pula zabezpieczeń pozostaje bezpieczna, posiadacze tokenów USR ponieśli znaczne straty z powodu inflacji podaży
• Główne platformy DeFi, w tym Morpho, Lido i Aave, szybko zareagowały, aby ocenić i złagodzić swoje narażenie

W niedzielę krytyczne naruszenie bezpieczeństwa dotknęło stablecoin USR protokołu Resolv, a atakujący wykorzystał luki w infrastrukturze mintowania, aby wygenerować około 80 milionów tokenów bez pokrycia, ostatecznie wyprowadzając z protokołu Ether o wartości około 25 milionów USD.

Złośliwa aktywność rozpoczęła się około 2:21 czasu UTC. Sprawca zainicjował atak, wpłacając 100 000 USDC do kontraktu USR Counter protokołu Resolv, otrzymując w zamian astronomiczne 50 milionów USR — około 500 razy więcej niż prawidłowa kwota. Kolejna transakcja wygenerowała dodatkowe 30 milionów tokenów.

Po nieautoryzowanym mintowaniu atakujący systematycznie wymienił fałszywe USR na USDC i USDT za pośrednictwem różnych zdecentralizowanych giełd, następnie konsolidując wpływy w ETH. Portfel atakującego zawiera obecnie 11 409 ETH, co stanowi około 23,7 miliona USD według aktualnej wartości rynkowej.

USR, zaprojektowany w celu utrzymania parytetów cenowego 1 USD, katastrofalnie załamał się do 0,025 USD na Curve Finance zaledwie 17 minut po początkowej transakcji mintowania. Chociaż token doświadczył częściowego odbicia do około 0,85 USD, pozostał znacząco odłączony od parytetu w niedzielny poranek.

Pomimo tych zapewnień analitycy blockchain podkreślili, że dotychczasowi posiadacze USR ponieśli znaczne szkody. Masowy napływ 80 milionów nowo wybitych tokenów poważnie rozwodnił podaż w obiegu, podczas gdy agresywna sprzedaż atakującego wyczerpała dostępną płynność puli. Wszyscy inwestorzy posiadający USR podczas incydentu doświadczyli natychmiastowych strat portfelowych.

Luki w zabezpieczeniach przypisane niewłaściwemu zarządzaniu dostępem

Analityk bezpieczeństwa blockchain Andrew Hong zidentyfikował pochodzenie naruszenia jako uprzywilejowane konto oznaczone jako SERVICE_ROLE. To krytyczne konto było kontrolowane przez pojedyncze konto zewnętrzne, a nie przez bezpieczniejszy portfel wielopodpisowy. Kontrakt mintowania nie posiadał podstawowych zabezpieczeń, w tym weryfikacji oracle, protokołów walidacji kwot i maksymalnych progów mintowania.

Pashov, firma bezpieczeństwa, która wcześniej przeprowadziła audyt modułu stakingu Resolv w lipcu 2025 roku, poinformowała Cointelegraph, że podstawowy problem wydaje się wynikać z kompromitacji klucza prywatnego, a nie z wewnętrznych słabości w architekturze protokołu.

Oficjalna strona internetowa Resolv dokumentuje 14 oddzielnych audytów przeprowadzonych przez pięć różnych firm bezpieczeństwa, program bug bounty o wartości 500 000 USD hostowany na Immunefi oraz systemy ciągłego nadzoru nad inteligentnymi kontraktami.

Ekosystem DeFi reaguje, aby powstrzymać konsekwencje

Liczne platformy DeFi wdrożyły środki szybkiego reagowania po exploicie. Lido potwierdziło, że środki użytkowników zdeponowane w Lido Earn pozostają bezpieczne. Założyciel Aave, Stani Kulechov, stwierdził, że platforma nie ma bezpośredniego narażenia na USR i potwierdził, że Resolv aktywnie spłaca niespłacony dług. Współzałożyciel Morpho, Merlin Egalite, wyjaśnił, że tylko określone skarbce miały ekspozycję na USR.

Efekty zarażenia rozprzestrzeniają się przez ekosystemy pożyczkowe

Zarówno USR, jak i jego stakowany pochodny wstUSR zostały zatwierdzone jako aktywa zabezpieczające na platformach takich jak Morpho i Gauntlet. Analitycy rynkowi zauważyli, że oportunistyczni traderzy mogli nabyć USR po jego poważnie zredukowanej cenie i wykorzystać go do pożyczenia USDC po pełnej wycenie 1 USD, skutecznie drenując rezerwy płynności z dotkniętych skarbców.

Juniorowa transza ubezpieczeniowa Resolv, RLP, również stoi w obliczu potencjalnego pogorszenia kapitału. Stream Finance, posiadający znaczącą pozycję 13,6 miliona RLP o wartości około 17 milionów USD, może przenieść dodatkowe straty na swoją bazę deponentów. Stream wcześniej ujawniło stratę 93 milionów USD w listopadzie 2025 roku.

Token zarządzania RESOLV spadł o około 8,5% w ciągu 24 godzin po naruszeniu bezpieczeństwa.

Ten incydent z Resolv stanowi przykład szerszego wzorca w branży. Według niedawnego raportu Immunefi średni hack kryptowalutowy powoduje obecnie szkody w wysokości około 25 milionów USD, a pięć największych exploitów w latach 2024–2025 stanowi 62% łącznych skradzionych środków.

Post Resolv Protocol Hacked: $25 Million Drained Through USR Stablecoin Vulnerability ukazał się najpierw na Blockonomi.