Questa mattina il stablecoin $USR di @ResolvLabs è stato sfruttato attraverso un attaccante che ha coniato ~80 milioni di token non garantiti con solo ~$100-200K USDC. Lo sfruttamento di Resolv Labs USR ha sfruttato una falla critica nel processo di conio in due fasi (requestSwap seguito da completeSwap), dove l'attaccante ha depositato ~$100–200K USDC ma ha eluso i controlli di validazione—probabilmente a causa di un SERVICE_ROLE compromesso o insicuro controllato da un singolo indirizzo di proprietà esterna (EOA) invece di un multisig, combinato con l'assenza di limiti di importo on-chain, enforcement di minExpectedAmount, o guardie di prezzo oracle—consentendo il conio di ~80 milioni di token USR non garantiti a un estremo rapporto di 500:1. L'attaccante ha poi scaricato questi token nelle pool di liquidità (principalmente USR/USDC di @CurveFinance), convertendo i proventi in beni reali come ETH ed estraendo ~$23–25 milioni di profitto, mentre il pool di collaterale sottostante del protocollo è rimasto completamente intatto e nessun asset principale è stato drenato, causando il depeg del token USR. Lo sfruttamento di Resolv Labs USR ha innescato una significativa contagione secondaria nei mercati di prestito, dove protocolli come @Morpho (attraverso molteplici vault di curatori come @gauntlet_xyz e altri), @0xfluid, @lista_dao, @eulerfinance e @InverseFinance avevano accettato USR, wstUSR o RLP come collaterale assumendo un peg vicino a $1, portando a stime di debito cattivo che vanno da centinaia di migliaia (ad esempio, ~$340K nel mercato wstUSR-DOLA di Inverse) a milioni (ad esempio, ~$11M+ potenziali su Fluid e diversi milioni attraverso i vault di Morpho) mentre il depeg ha causato posizioni sottocollateralizzate e liquidazioni forzate o uscite. La lezione chiave di questo evento, che non è la prima volta che viene appresa nel crypto, è che c'è un alto rischio sconosciuto quando si interagisce con questi protocolli, quindi come qualcuno che li utilizza, è necessario considerare questo rischio nelle proprie decisioni, e quando si verifica uno sfruttamento, c'è un ampio raggio d'azione e qualsiasi prodotto che si basa su un token sfruttato può metterti in una posizione di perdere fondi.