coinedition.com
- Злоумышленник собрал 80 млн долларов без финансирования USR, используя $100K-$200K, извлечя $23M–$25 млн в $ETH.
- Корень причины — скомпрометированные приватные ключи без ограничений на Mint или проверок Oracle.
- USR потерял свою привязанность за считанные минуты, рухнув ниже $0.40 с минимальными значениями около $0.02.
Resolv Labs подтвердила , что их система чеканки стейблкоина USR была использована 22 марта 2026 года. Злоумышленник получил доступ к приватным ключам и выпустил 80 миллионов необеспеченных USR-токенов.
Злоумышленник использовал только $100,000–$200,000 в качестве первоначального залога. Этот вклад должен был обеспечить небольшое количество USR, но система позволила создать десятки миллионов.
Злоумышленник конвертировал USR в стейкинговую версию (wstUSR), затем обменял его на другие стейблкоины, включая USDC от Circle, и, наконец, в Ether. Данные по блокчейну показывают общий объем добычи $ETH примерно от 23 миллионов до 25 миллионов долларов.
Корень причины: компрометация приватного ключа, а не сбой кода
Эксплойт не возник из-за ошибки в смарт-контрактах, и система работала по записанному сценарию. Сбой произошёл из-за офф-чейневой инфраструктуры.
Злоумышленник скомпрометировал систему управления ключами AWS Resolv и получил контроль над привилегированным ключом подписи. Этот ключ имел полномочия утверждать суммы чеканки.
В контракте проверялась только действительность подписи, не было максимального лимита монетного двора, не было ценового оракула и не было проверки коэффициента залога.
Две основные сделки демонстрируют масштаб: отчеканено 50 миллионов долларов США и 30 миллионов долларов США соответственно, при этом 80 миллионов долларов США создано с минимальным финансированием. После того как злоумышленники скомпрометировали ключ, они включили неограниченное мантение токенов.
Заражение распространяется на DeFi-протоколы
Повреждения не остались внутри Resolv. Протоколы, интегрированные с USR, также пострадали. Morpho Labs сообщили о воздействии через свои кураторские кредитные архивы. Эксплойт затронул около 15 хранилищ с суммой более $10,000 каждый.
Кураторы, включая Gauntlet, Re7 Labs, kpk и 9summits, имели бассейны, связанные с USR. Некоторые автоматизированные системы продолжали обеспечивать ликвидность даже после эксплойта, что усугубляло убытки.
Morpho заявила, что основные контракты остаются в безопасности, риски ограничены кураторами.
Стейблкоин USR теряет привязку, а цена упала ниже $0.40
Внезапный шок предложения мгновенно сломал систему, так как USR потерял привязанность к доллару за считанные минуты.
Данные показывают, что токен опустился ниже $0.40, с минимальными значениями около $0.02 на некоторых каналах. Chainalysis оценивает на 80% коллапс в момент пиковой паники перед частичным восстановлением.
Протокол немедленно отключает Mint и активирует функции, чтобы предотвратить дальнейший урон. В то же время нападавший попытался чеканить дополнительные монеты, что вынудило команду быстро отреагировать.
Держатели USR оставались уязвимыми, поскольку пулы ликвидности были переполнены необеспеченными токенами.