Sinunog ng Resolv Labs ang 36.7m USR na na-hack matapos ang isang key compromise na nagpahintulot sa isang attacker na mag-mint ng 80m unbacked tokens at mag-dump ng $24.5m sa ETH, nag-iwan ng $34m na butas sa protocol.
Sinira ng Resolv Labs ang 36.73 milyong USR stablecoins na dating kinokontrol ng isang attacker, gamit ang isang contract upgrade upang mabawi ang bahagi ng nakuha mula sa isang exploit noong Marso na nag-print ng 80 milyong unbacked tokens at nag-iwan sa protocol ng tinatayang $34 milyon na pagkalugi. Ayon sa on-chain analyst na si Yu Jin, “humigit-kumulang 1 oras na ang nakalipas, sinira ng Resolv Labs ang 36.73 milyong USR na hawak ng hacker sa pamamagitan ng isang contract upgrade,” matapos ma-liquidate na ng exploiter ang humigit-kumulang 34 milyong USR para sa 11,409 ETH (humigit-kumulang $24.48 milyon) na naka-park ngayon sa address na 0x8ED…81C. Sa kabuuan, tinanggal ng koponan ng Resolv ang humigit-kumulang 46 milyong USR mula sa address ng attacker, ngunit ang halaga na nakuha sa ETH ay nag-iiwan sa protocol na humaharap sa isang tunay na economic hit na humigit-kumulang $34 milyon.
Nagmula ang insidente sa isang kritikal na pagkabigo sa USR minting flow ng Resolv na nagpahintulot sa isang nag-iisang attacker, gamit ang wala pang $200,000 na paunang collateral, na bumuo ng 80 milyong uncollateralized USR at i-dump ang mga ito sa iba't ibang DeFi liquidity pools. Inilarawan ito ng Chainalysis bilang isang kaso kung saan “nakapag-mint ang isang attacker ng sampu-sampung milyong unbacked stablecoins (USR) ng Resolv at nakakuha ng humigit-kumulang $23 milyon na halaga,” na nagbibigay-diin kung paano ang isang compromised service key sa isang two-step off-chain minting process ay maaaring magdulot ng systemic losses. Sa nauna nitong ulat, iniulat ng crypto.news na ang USR “nawala ang peg nito matapos ang isang attacker ay mag-mint ng milyun-milyong unbacked tokens,” na nagpilit sa Resolv Labs na pansamantalang ihinto ang operasyon at maglabas ng recovery plan habang ang stablecoin ay bumagsak sa $0.14 bago bahagyang bumalik.
Ang USR exploit ay naging isang case study sa panganib ng key management ng DeFi, na naghahambing sa iba pang kamakailang pagkabigo ng stablecoin at contagion sa lending market. Sa isang post-mortem, binigyang-diin ng Resolv Labs na ang collateral pool nito ay “nananatiling buo” sa kabila ng exploit-driven mint ng 80 milyong USR, kahit na ang mga liquidity provider at leveraged users sa iba't ibang integrated protocols ay sumipsip ng price slippage at sapilitang unwinds. Ipinakita ng mas naunang pagsusuri ng pagbagsak na ang USR sa isang punto ay nag-trade malapit sa $0.23–$0.27, kung saan tinatantya ng mga on-chain data firm ang kita ng attacker sa pagitan ng $23 milyon at $25 milyon habang ang token ay na-depeg sa Curve at iba pang pools.
Ang bahagyang pagsunog ng 36.73 milyong USR sa pamamagitan ng contract upgrade ay nagpapakita kung paano ang mga privileged controls ay maaaring parehong magbigay-daan at magpagaan ng mga malalaking pagkabigo sa nominally decentralized systems. Para sa mga trader na sumusubaybay sa Resolv at sa governance token nitong RESOLV, na dati nang nakaranas ng pabago-bagong swings matapos ang exchange listings at buybacks, binuhay ng insidente ang matagal nang mga katanungan kung ang yield-bearing stablecoins ay maaaring mag-scale nang hindi nagpapakilala ng mga single points of failure. Tulad ng nabanggit ng crypto.news sa isang naunang kwento tungkol sa USR depeg, ang mga DeFi protocol na may composable stablecoins ngayon ay nahaharap sa panibagong pressure upang patatagin ang minting logic, paikutin ang mga susi (rotate keys), at tratuhin ang backend infrastructure nang may parehong rigor tulad ng mga na-audit na smart contracts.
