Хакерская атака на Resolv обрушила стейблкоин USR

Злоумышленник взломал платформу Resolv и вывел около $25 млн, параллельно нарушив привязку нативного стейблкоина USR.

Resolv has experienced an exploit that allowed the attackers to mint 50mn of unbacked USR.

The team has currently paused all the protocol functions to prevent further malicious actions and is actively working on recovery.

— Resolv Labs (@ResolvLabs) March 22, 2026

Согласно заявлению компании-разработчика Resolv Labs, уязвимость позволила хакеру выпустить 50 млн необеспеченных USR.

На момент написания котировки привязанного к доллару США токена опустились до $0,44.

Исследователи D2 опубликовали анализ инцидента. По их версии, злоумышленник внес 100 000 USDC в контракт USR Counter через функцию requestSwap и получил 49,95 млн USR. Сумма в 500 раз превысила депозит из-за неисправного смарт-контракта. 

«Либо оракул обманули, либо валидатора скомпрометировали офлайн, либо просто отсутствует алгоритм подтверждения суммы между запросом и финализацией», — предположили эксперты.

После основной атаки преступник начал выводить средства на «полной скорости», используя классическую для DeFi схему. Он конвертировал полученные USR в wstUSR и разместил монеты на всех доступных площадках для продажи. 

Сделки совершались с большим проскальзыванием из-за истощения ликвидности. Это усилило просадку USR. В итоге преступник вывел заработанные средства через свопы и мосты в другие сети. Приблизительный ущерб исследователи оценили в $25 млн.

«Главный вопрос: как запрос обмена requestSwap на 100 000 USDC был авторизован в виде 50 млн USR через completeSwap? Кто-то должен объяснить, что произошло между этими двумя этапами», — отметили в D2.

Пока представители проекта не предоставили дополнительных подробностей. В компании работают над устранением последствий и восстановлением утраченных средств. 

Resolv — платформа для выпуска стейбклоинов. Протокол предлагал высокую доходность и использовал для его генерации дельта-нейтральные стратегии на базе Ethereum и биткоина. 

Напомним, в Immunefi подсчитали, что средний ущерб от одного взлома криптопротокола составляет около $25 млн без учета последующего обвала нативных монет.