Вход

Resolv Labs о эксплойте стейблкоина USR

Протокол децентрализованных финансов Resolv Labs столкнулся с критической атакой на механику минта своего алгоритмического стейблкоина USR. Злоумышленник создал десятки миллионов неподкреплённых токенов и сбросил их на пулы ликвидности, вызвав обвал цены с $1 до $0,14 (падение на 86%). Однако, несмотря на хаос на рынке, команда подтвердила: коллатеральный пул остался полностью нетронутым, а все активы пользователей защищены.

📊 По данным Arkham и Cyvers, злоумышленник конвертировал большую часть неподкреплённых токенов в эфир, продав около 11 400 ETH (~$24 млн). Оставшиеся 36,74 млн USR продолжают постепенно сбрасываться на рынке, удерживая цену на уровне $0,42.

🔍 Как была совершена атака?

В отличие от классических взломов смарт-контрактов, эксплойт затронул именно механику эмиссии токенов. Анализ безопасности показал:

  • Злоумышленник получил контроль над приватным ключом, управляющим функцией минта
  • Были сгенерированы десятки миллионов токенов без соответствующего пополнения коллатерала
  • Неподкреплённые токены были мгновенно сброшены через пулы на Curve и Uniswap

Критически важно: сам коллатеральный пул, содержащий обеспечительные активы, не был скомпрометирован. Это подтверждает правильность архитектуры разделения ответственности между модулем эмиссии и хранилищем обеспечения.

«Безопасность — это не отсутствие уязвимостей. Это способность системы изолировать сбой и предотвратить каскадные последствия», — Виталик Бутерин, сооснователь Ethereum.

🛡️ Быстрая реакция экосистемы DeFi

В течение часа после обнаружения аномалии ключевые протоколы предприняли меры:

  • Lido: подтвердил, что средства пользователей в Lido Earn находятся в безопасности
  • Morpho: заявил, что основные контракты не затронуты, риск ограничен отдельными волтами
  • Aave: сообщил об отсутствии прямой экспозиции к USR; Resolv погасил все задолженности перед протоколом
  • Euler, Venus, Fluid: приостановили рынки с участием USR/wstUSR для предотвращения ликвидаций

Как отметил Майкл Перл из Cyvers: «Риск оказался локализованным в кредитных рынках и петлях левериджа, а не системным. Это не событие уровня Terra/Luna».

📉 Почему аудиты не предотвратили атаку?

Смарт-контракты Resolv прошли множественные аудиты, включая проверку от Pashov в июле 2025 года. Однако, как пояснила сама фирма, корень проблемы — не в коде, а в операционной безопасности:

«Дизайн протокола был хорошим. Причина — не архитектура, а компрометация приватного ключа. Это операционная ошибка, а не уязвимость в коде».

Это подчёркивает фатальный пробел в современной парадигме безопасности: даже идеально написанный код бессилен против человеческого фактора и недостаточной защиты ключей.

💡 Уроки для индустрии: мониторинг в реальном времени

Эксперты единодушны: будущее безопасности — в динамическом наблюдении, а не в статических аудитах. Для стейблкоинов критически важны:

  • Мониторинг потоков минта/сжигания в реальном времени с обнаружением аномалий
  • Валидация соотношения предложения и резервов на каждом блоке
  • AI-детекция отклонений в поведении оракулов и ликвидности
  • Многосигнатурная защита для критических операций эмиссии

Как сказал Перл: «Аудиты необходимы, но недостаточны. Нужны системы, которые видят атаку в момент её совершения, а не через неделю в отчёте».

🔮 Будущее алгоритмических стейблкоинов

Инцидент с USR ставит под вопрос жизнеспособность чисто алгоритмических моделей без избыточного коллатерала. В 2026 году рынок склоняется к гибридным решениям:

  • Избыточное обеспечение (150%+ коллатерала) как базовый принцип
  • Многоуровневые резервы в разных активах и юрисдикциях
  • Прозрачная верификация резервов через криптографические доказательства
  • Постепенная децентрализация управления ключами через мультиподписи

Как отметил технический директор Ledger Чарльз Гийеме: «Размер рынка USR относительно невелик. Это не системная угроза, но важный урок для всех разработчиков стейблкоинов».

✨ Заключение: безопасность — это процесс, а не событие

Атака на USR не привела к потере активов пользователей благодаря правильной архитектуре изоляции рисков. Но она вскрыла уязвимость, которую не покажет ни один аудит: человеческий фактор в управлении ключами.

Будущее децентрализованных финансов требует не только безупречного кода, но и инженерии процессов — где каждая критическая операция защищена многослойной верификацией, а не доверена одному человеку с одним ключом.

Потому что в мире, где деньги — это исполняемая логика, самая надёжная стена — это не код, а дисциплина.

23.03.2026, 02:07
Новости