Обменять 200 000 на почти 100 миллионов, стабильные монеты DeFi снова подверглись атаке

Автор: Эрик, Foresight News

Около 10:21 по пекинскому времени сегодня Resolv Labs, выпустившая стейблкоин USR с использованием дельта-нейтральной стратегии, подверглась хакерской атаке. Адрес, начинающийся с 0x04A2, выпустил 50 миллионов USR, отчеканив их из протокола Resolv Labs с помощью 100000 USDC.

После того как инцидент стал известен, USR сразу упал примерно до уровня $0.25 и на момент написания текста восстановился примерно до $0.8. Кратковременное максимальное падение цены токена RESOLV также достигло почти 10%.

Затем хакеры повторили ту же схему: снова отчеканили 30 миллионов USR, используя 100000 USDC. По мере резкой де-анкеровки USR арбитражные трейдеры быстро активизировались; многие кредитные рынки на Morpho, где в качестве залога используются USR, wstUSR и т.п., почти полностью опустели, а Lista DAO на BNB Chain также приостановила новые запросы на заимствования.

Под ударом оказались не только эти кредитные протоколы. В конструкции протокола Resolv Labs пользователи также могут отчеканить токен RLP, который имеет более высокую волатильность цены и более высокую доходность, но при этом должен нести ответственность за возмещение потерь, когда протокол получит убытки. Текущая обращающаяся эмиссия токена RLP — почти 30 миллионов; крупнейший держатель Stream Finance владеет более 13 миллионов RLP, а чистая риск-экспозиция составляет около $17 миллионов.

Да, Stream Finance, который уже однажды пострадал из‑за краха xUSD, вероятно, может быть снова атакован.

На момент написания текста хакеры конвертировали USR в USDC и USDT и продолжают покупать Ethereum; на данный момент они уже купили более 10000 монет. На 200000 USDC они вывели активов более чем на $20 миллионов; в условиях медвежьего рынка хакеры нашли «монету‑стократник» именно для TA.

Очередная лазейка из‑за «недостаточной строгости»

Обвальное падение 11 октября прошлого года привело к тому, что многие стейблкоины, выпущенные с использованием дельта-нейтральных стратегий, понесли потери по обеспечению из‑за ADL (автоматического снижения кредитного плеча). Проекты, которые использовали активы с меме‑коинами как элементы исполнения стратегии, потеряли еще больше и некоторые даже напрямую «свали» (ушли).

На этот раз атакованным оказался Resolv Labs, который также использует аналогичный механизм выпуска USR. Проект ранее в апреле 2025 года объявил, что завершил раунд seed на $10 миллионов с участием Cyber.Fund и Maven11 в качестве лидов; Coinbase Ventures участвовал(а). В конце мая — начале июня проект разместил токен RESOLV.

Но причина, по которой Resolv Labs был атакован, — не экстремальная рыночная ситуация, а недостаточно строгий дизайн механизма чеканки USR.

На данный момент ни одна компания по безопасности, ни официальный орган не провели анализ причин этого взлома. DeFi‑сообщество YAM после предварительного анализа сделало вывод: атаку, вероятно, организовал хакер, получивший контроль над SERVICE_ROLE — ролью в бэкенде протокола, которая используется для передачи параметров в смарт‑контракты для чеканки.

Согласно анализу Grok, при чеканке USR пользователи инициируют запрос в сети и вызывают функцию requestMint контракта; параметры включают:

_depositTokenAddress：адрес депонированного токена;

_amount：сумма депозита;

_minMintAmount：минимально ожидаемое количество USR (защита от проскальзывания).

После этого пользователи вносят в контракт USDC или USDT; бэкенд проекта SERVICE_ROLE отслеживает запросы, проверяет стоимость внесенных активов с помощью оракула Pyth, после чего вызывает completeMint или completeSwap, чтобы определить фактическое количество отчеканенных USR.

Проблема в том, что смарт‑контракт для чеканки полностью доверяет _mintAmount, предоставленному SERVICE_ROLE. Он считает, что это число было проверено Pyth офчейн, поэтому не устанавливает никаких ограничений по верхнему порогу, также не выполняет ончейн‑проверку оракулом, а напрямую исполняет mint(_mintAmount).

Исходя из этого, YAM предполагает, что хакер контролировал SERVICE_ROLE, который должен был контролироваться командой проекта (возможно, из‑за потери контроля над внутренним оракулом, «мониторинга и присвоения» со стороны смотрителя или кражи ключа). При чеканке он напрямую установил _mintAmount равным 50 миллионов, реализовав атаку, при которой 100000 USDC были превращены в 50 миллионов USR.

В итоге Grok делает вывод: при проектировании протокола Resolv не учёл возможность того, что адрес (или контракт), используемый для приема пользовательских запросов на чеканку, может оказаться под контролем хакера. Когда запрос на чеканку USR отправляется в контракт, который выполняет финальную чеканку USR, там не задано максимальное количество чеканки, и контракт для чеканки не получает возможность провести вторичную ончейн‑проверку с помощью оракула; вместо этого он просто доверяет все параметры, предоставленные SERVICE_ROLE.

Профилактика тоже оказалась недостаточной

Помимо предположений о причине взлома, YAM также указал(а), что у команды проекта не хватило подготовки к кризису.

YAM на X сообщил(а), что Resolv Labs приостановила протокол только через 3 часа после завершения первой атаки хакеров. Около 1 часа этой задержки было связано со сбором 4 подписи для транзакций мультиподписи. YAM считает, что экстренная пауза должна требовать только одной подписи, а полномочия — насколько возможно распределить между членами команды либо доверенными внешними операторами. Это повышает внимание к аномалиям на блокчейне, увеличивает вероятность быстрой паузы и лучше покрывает разные часовые пояса.

Хотя рекомендация о приостановке протокола с помощью одной подписи выглядит слишком смелой, тот факт, что для паузы протокола нужны подписи из разных часовых поясов, действительно может задержать критически важные действия, если экстренная ситуация уже произошла. Привлечение доверенного третьего лица, которое постоянно мониторит ончейн‑поведение, либо использование мониторинговых инструментов с правами экстренной паузы — всё это стало «уроками постфактум», которые принес этот инцидент.

Атаки хакеров на DeFi‑протоколы уже давно выходят за рамки уязвимостей смарт‑контрактов. Событие Resolv Labs предупреждает команды проекта о следующем: в сфере безопасности протокола допущения не должны доверять ни одному звену; все этапы, затрагивающие параметры, должны проходить как минимум вторичную верификацию. Даже бэкенд, который команда проекта сама же и ведёт, не должен быть исключением.