Dziś rano stablecoin $USR od @ResolvLabs został wykorzystany przez napastnika, który wyemitował ~80M niepopartych tokenów za jedynie ~$100-200K USDC. Eksploatacja USR przez Resolv Labs wykorzystała krytyczną lukę w procesie dwustopniowego mintingu (requestSwap, a następnie completeSwap), gdzie napastnik wpłacił ~$100–200K USDC, ale ominął kontrole walidacyjne—prawdopodobnie z powodu skompromitowanej lub niebezpiecznej roli SERVICE_ROLE kontrolowanej przez pojedynczy adres zewnętrzny (EOA) zamiast multisig, w połączeniu z brakiem limitów kwot on-chain, egzekwowania minExpectedAmount lub zabezpieczeń cenowych oracle—co pozwoliło na wyemitowanie ~80 milionów niepopartych tokenów USR w ekstremalnym stosunku 500:1. Napastnik następnie zrzucił te tokeny do pul płynności (głównie USR/USDC od @CurveFinance), przekształcając dochody w prawdziwe aktywa, takie jak ETH, i wyciągając ~$23–25 milionów zysku, podczas gdy podstawowa pula zabezpieczeń protokołu pozostała w pełni nienaruszona, a żadne kluczowe aktywa nie zostały wyczerpane, co spowodowało depeg tokena USR. Eksploatacja USR przez Resolv Labs wywołała znaczną wtórną kontaminację na rynkach pożyczkowych, gdzie protokoły takie jak @Morpho (poprzez wiele skarbców kuratorskich, takich jak @gauntlet_xyz i inne), @0xfluid, @lista_dao, @eulerfinance i @InverseFinance zaakceptowały USR, wstUSR lub RLP jako zabezpieczenie, zakładając bliski peg na poziomie $1, co prowadziło do szacunków złych długów w wysokości od setek tysięcy (np. ~$340K na rynku wstUSR-DOLA Inverse) do milionów (np. ~$11M+ potencjalnie na Fluid i kilka milionów w skarbcach Morpho), ponieważ depeg spowodował niedoinwestowane pozycje i wymusił likwidacje lub wyjścia. Kluczową lekcją z tego wydarzenia, które nie jest pierwszym razem, gdy jest to nauczane w kryptowalutach, jest to, że istnieje wiele nieznanego ryzyka podczas interakcji z tymi protokołami, więc jako osoba je używająca musisz uwzględnić to ryzyko w swojej decyzji, a gdy dojdzie do eksploatacji, istnieje duży promień wybuchu, a każdy produkt oparty na wykorzystanym tokenie może postawić cię w sytuacji utraty funduszy.