Vanmorgen werd de $USR stablecoin van @ResolvLabs uitgebuit door een aanvaller die ~80 miljoen onbeveiligde tokens mintte met slechts ~$100-200K USDC. De exploit van Resolv Labs USR maakte gebruik van een kritieke fout in het twee-staps mintproces (requestSwap gevolgd door completeSwap), waarbij de aanvaller ~$100–200K USDC deponeerde maar de validatiecontroles omzeilde—waarschijnlijk door een gecompromitteerde of onveilige SERVICE_ROLE die werd beheerd door een enkel extern eigendom adres (EOA) in plaats van een multisig, gecombineerd met ontbrekende on-chain bedraglimieten, handhaving van minExpectedAmount, of oracle prijsbeveiligingen—waardoor de minting van ~80 miljoen onbeveiligde USR-tokens mogelijk werd tegen een extreme 500:1 ratio. De aanvaller dumpte deze tokens vervolgens in liquiditeitspools (voornamelijk @CurveFinance's USR/USDC), waarbij de opbrengsten werden omgezet in echte activa zoals ETH en ~$23–25 miljoen aan winst werd geëxtraheerd, terwijl de onderliggende collateral pool van het protocol volledig intact bleef en er geen kernactiva werden afgevoerd, wat leidde tot het depeggen van de USR-token. De exploit van Resolv Labs USR veroorzaakte aanzienlijke secundaire besmetting in de leenmarkten, waar protocollen zoals @Morpho (via meerdere curator vaults zoals @gauntlet_xyz en anderen), @0xfluid, @lista_dao, @eulerfinance, en @InverseFinance USR, wstUSR, of RLP als onderpand hadden geaccepteerd, ervan uitgaande dat er een bijna $1 peg was, wat leidde tot slechte schuldschattingen variërend van honderden duizenden (bijv. ~$340K op Inverse's wstUSR-DOLA markt) tot miljoenen (bijv. ~$11M+ potentieel op Fluid en enkele miljoenen over Morpho vaults) aangezien het depeggen ondergecollateraliseerde posities veroorzaakte en gedwongen liquidaties of exits. De belangrijkste les uit dit evenement, wat niet de eerste keer is dat het in crypto wordt geleerd, is dat er veel onbekend risico is bij het interactie met deze protocollen, dus als iemand die ze gebruikt, moet je dit risico in je beslissing inprijzen, en wanneer er een exploit plaatsvindt, is er een grote blast radius en kan elk product dat afhankelijk is van een uitgebuit token je in een positie brengen om fondsen te verliezen.