Согласно заявлению Resolv Labs, уязвимость позволила хакеру выпустить около 50 млн необеспеченных USR.
На момент публикации курс привязанного к доллару токена снизился примерно до $0,56, согласно данным CoinGecko.
Исследователи D2 опубликовали анализ инцидента. По их данным, злоумышленник внёс 100 000 USDC в контракт USR Counter через функцию requestSwap и получил 49,95 млн USR.
Сумма оказалась примерно в 500 раз больше депозита из-за ошибки в смарт-контракте.
«Либо был скомпрометирован оракул, либо валидатор взломан офлайн, либо отсутствует корректная проверка между этапами запроса и финализации», — отметили исследователи.
После основной атаки злоумышленник начал быстро выводить средства, используя типичную стратегию DeFi. Полученные USR были конвертированы в wstUSR и распределены по различным площадкам для продажи.
Сделки проходили с высоким проскальзыванием из-за истощения ликвидности, что дополнительно ускорило потерю привязки USR. В итоге злоумышленник вывел средства через свопы и мосты в другие сети.
Общий ущерб, по оценкам исследователей, составил около 25 млн долларов.
«Ключевой вопрос — как запрос обмена на 100 000 USDC был завершён как 50 млн USR через completeSwap. Кто-то должен объяснить, что произошло между этими этапами», — добавили в D2.
Команда проекта пока не предоставила дополнительных технических деталей. В компании заявили, что работают над устранением последствий и восстановлением средств.
Resolv — платформа для выпуска стейблкоинов, предлагающая высокую доходность за счёт дельта-нейтральных стратегий на базе Ethereum и Bitcoin.
Инцидент с Resolv показывает, что даже сложные DeFi-модели остаются уязвимыми к ошибкам в логике смарт-контрактов и архитектуре протоколов. Потеря привязки USR и масштаб убытков могут усилить недоверие к алгоритмическим и гибридным стейблкоинам. В ближайшее время ключевыми факторами станут скорость реакции команды и прозрачность расследования.
