Resolv Labs удаляет 57% нелегально выпущенных токенов USR

Хакер использовал приватный ключ Resolv через AWS Key Management Service, создав 80 млн неподдерживаемых USR токенов, потратив всего около $100K в USDC.

Злоумышленник конвертировал USR в wstUSR, обменял на стейбкоины и вывел около $25M в ETH, всего 11 409 ETH, прежде чем кто-либо успел отреагировать.

USR рухнул с ( до $0.025 на Curve Finance за 17 минут.

Ответ Resolv:
→ Сжёг около 9 млн USR в первый день
→ Обновил контракт wstUSR для блокировки кошельков злоумышленника
→ В общей сложности 46 млн токенов )57%$1 навсегда удалены
→ Сейчас на кошельках злоумышленника нет нелегальных USR

Но реальность:
→ Злоумышленник уже вывел около ( в ETH
→ Протокол держит около ) активов при более высоких обязательствах, $25M фактически неплатеспособен$95M
→ Курс USR НЕ восстановлен
→ 18 аудитов не выявили уязвимость

Причина: отсутствие лимитов на выпуск, отсутствие проверок оракула, создание токенов с помощью одного приватного ключа. Нет мультиподписей.

Главный урок: Аудит смарт-контрактов — это недостаточно. Безопасность инфраструктуры вне цепочки так же важна для DeFi протоколов.

Выкуп возможен только для держателей USR до взлома через список разрешённых. Не торгуйте USR во время восстановления.