Я щойно побачив, що сталося з Resolv у вихідні. Їхній стейблкоїн USR зазнав атаки, і токен впав з $1 до $0,27 за кілька годин. Атакуючий використав вразливості в контракту емісії, створив 80 мільйонів токенів без реальної підтримки і вивів близько $25 мільйонів у ETH. В основному, він поклав $100k у USDC і отримав натомість 50 мільйонів USR, що зовсім не має сенсу.

Проблема була досить структурною. Обліковий запис, який контролює емісію, був прив’язаний до одного приватного ключа, без перевірок оракула, без валідації значень і без максимального ліміту емісії. Типовий той сліпий пункт безпеки, до якого ніхто не звертає уваги, поки його не експлуатують. Атакуючий зараз має 11,4 тисяч ETH у гаманці, оцінений приблизно у $23,7 мільйонів. Resolv просить усіх не торгувати цим токеном, поки вони працюють з органами влади та компаніями з аналізу onchain, щоб повернути активи.

TVL Resolv досягав $684 мільйонів ще у лютому, але вже почав падати раніше. Тепер, мабуть, значно менший. Це нагадування, що навіть стейблкоїн із складною стратегією (дельта-нейтральною з ETH і BTC) може зламатися, якщо базовий дизайн має вразливості. Все ускладнюється.