Pagi ini stablecoin $USR @ResolvLabs dieksploitasi melalui penyerang yang mencetak ~80 juta token yang tidak didukung hanya dengan ~$100-200K USDC. Eksploitasi USR Resolv Labs mengeksploitasi kelemahan kritis dalam proses pencetakan dua langkah (requestSwap diikuti oleh completeSwap), di mana penyerang menyetor ~$100–200 ribu USDC tetapi melewati pemeriksaan validasi—kemungkinan karena SERVICE_ROLE yang disusupi atau tidak aman yang dikendalikan oleh satu alamat milik eksternal (EOA), bukan multisig, dikombinasikan dengan batas jumlah on-chain yang hilang, penegakan minExpectedAmount, atau penjaga harga oracle—memungkinkan pencetakan ~80 juta token USR yang tidak didukung dengan rasio 500:1 yang ekstrem. Penyerang kemudian membuang token ini ke dalam kumpulan likuiditas (terutama USR/USDC @CurveFinance), mengonversi hasilnya menjadi aset nyata seperti ETH dan mengekstraksi keuntungan ~$23-25 juta, sementara kumpulan jaminan yang mendasari protokol tetap sepenuhnya utuh dan tidak ada aset inti yang terkuras, menyebabkan token USR didepeg. Eksploitasi USR Resolv Labs memicu penularan sekunder yang signifikan di pasar pinjaman, di mana protokol seperti @Morpho (melalui beberapa brankas kurator seperti @gauntlet_xyz dan lainnya), @0xfluid, @lista_dao, @eulerfinance, dan @InverseFinance telah menerima USR, wstUSR, atau RLP sebagai jaminan dengan asumsi patokan mendekati $1, yang mengarah ke perkiraan hutang macet mulai dari ratusan ribu (misalnya, ~$340K di pasar wstUSR-DOLA Inverse) hingga jutaan (misalnya, ~$11M+ potensi pada Fluid dan beberapa juta di seluruh brankas Morpho) karena depeg menyebabkan posisi yang dijamin rendah dan likuidasi atau keluar paksa. Pelajaran utama dalam acara ini, yang bukan pertama kalinya dipelajari dalam kripto, adalah ada banyak risiko yang tidak diketahui saat berinteraksi dengan protokol ini, jadi sebagai seseorang yang menggunakannya, Anda perlu menetapkan risiko ini ke dalam keputusan Anda, dan ketika eksploitasi terjadi, ada radius ledakan yang besar dan produk apa pun yang mengandalkan token yang dieksploitasi dapat menempatkan Anda dalam posisi kehilangan dana.