Стейблкоин по своей природе должен сохранять стабильную стоимость, эквивалентную одному доллару США. Однако USR от Resolv в настоящее время торгуется на уровне около 0,27 доллара, и механизмы его восстановления вызывают серьезные сомнения. В воскресенье около 02:21 по UTC злоумышленник воспользовался уязвимостью в смарт-контракте эмиссии стейблкоина USR. В результате двух транзакций было создано порядка 80 миллионов необеспеченных токенов, а общий объем выведенных средств составил около 25 миллионов долларов. Эти данные подтверждаются аналитикой блокчейна и отчетами компаний, специализирующихся на кибербезопасности.
После создания токенов злоумышленник обменял USR на стейблкоины USDC и USDT через децентрализованные биржи, затем конвертировал активы в Ethereum. В настоящее время на его счетах находится 11 409 ETH на сумму примерно 23,7 миллиона долларов, а также около 1,1 миллиона долларов в обернутом USR, размещенных в отдельном кошельке.
USR — это стейблкоин с привязкой к доллару США, использующий дельта-нейтральную стратегию хеджирования и обеспеченный активами в ETH и BTC. После атаки его цена обрушилась до 0,025 доллара всего за 17 минут в наиболее ликвидном пуле Curve Finance, согласно данным DEX Screener. В дальнейшем цена частично восстановилась до уровня около 0,85 доллара, однако стейблкоин так и не смог вернуть привязку к доллару. По состоянию на утро понедельника USR торговался на уровне 0,27 доллара, потеряв 72% стоимости за неделю.
Первопричина инцидента оказалась значительно серьезнее, чем предполагалось изначально. Команда Resolv заявила о компрометации приватного ключа и целенаправленной атаке на инфраструктуру проекта. Тем не менее, анализ блокчейна показал наличие системных архитектурных ошибок. Ключевая роль SERVICE_ROLE, отвечающая за выполнение операций обмена в контракте эмиссии, контролировалась одной учетной записью вместо мультиподписного механизма. Кроме того, в смарт-контракте отсутствовали проверки оракулов, валидация объемов транзакций и ограничения на максимальную эмиссию.
Злоумышленник внес депозит в размере 100 000 USDC и получил взамен 50 миллионов USR — примерно в 500 раз больше ожидаемого объема. Это стало возможным из-за отсутствия механизмов, проверяющих корректность такого соотношения.
Согласно данным DeFiLlama, общий объем заблокированных средств (TVL) в Resolv достиг пика около 684 миллионов долларов в феврале 2025 года, после чего постепенно снижался и к моменту атаки составлял около 95 миллионов долларов.
Представители Resolv сообщили о сотрудничестве с правоохранительными органами и аналитическими компаниями блокчейна, а также заявили о намерении использовать все доступные меры для возврата похищенных средств. Команда проекта настоятельно рекомендовала воздержаться от операций с USR в период восстановления, подчеркнув, что действия пользователей после инцидента могут повлиять на процесс возврата активов.