Eksploatacje DeFi w 2026 roku do tej pory osiągnęły już 137 milionów dolarów, a to dopiero marzec. Ranking jest brutalny: • @StepFinance_: 27,3 miliona dolarów • @Truebitprotocol: 26,2 miliona dolarów • @ResolvLabs: 25 milionów dolarów (wczoraj) ​ Rzadko w historii DeFi widzi się, aby depozyt w wysokości 100 tysięcy dolarów zamienił się w 80 milionów dolarów w stablecoinach w ciągu kilku sekund. Przypomina mi to tezę @a16zcrypto "Spec is Law" z początku 2026 roku. Oto pełne zestawienie tego, co poszło nie tak i dlaczego teza a16z nigdy nie była bardziej aktualna 🧵👇

1/ Sekretny błąd Resolv Delta-neutral stablecoin (USR) od @ResolvLabs używał hybrydowego procesu mintowania on-chain/off-chain: depozyty/wykup na łańcuchu, ceny weryfikowane off-chain przez @PythNetwork. Jedna EOA z rolą SERWISU (nie multisig) finalizowała minty, tworząc krytyczny pojedynczy punkt awarii.

2/ Jak doszło do wydobycia $25M To nie jest błąd w kontrakcie. Około 2:21 AM UTC 22 marca, napastnik skompromitował klucz SERVICE_ROLE i ominął weryfikację. - Normalnie: Użytkownik wpłaca $100k USDC → SERVICE_ROLE sprawdza oracle → 100k USR wyemitowane. - Eksploatacja: Napastnik wpłaca $100k USDC → oracle ominięty → 80M USR wyemitowane w dwóch wywołaniach. - Brak limitów on-chain, kontroli proporcji ani limitów podaży tego nie zatrzymało. Napastnik owinął i sprzedał niepoparte USR na @CurveFinance i @Uniswap, obniżając USR do $0.025. Wymienił dochody na ~11,400+ ETH (~$23–$25M). Efekt DeFi uderzył w protokoły używające USR/wstUSR jako zabezpieczenia (Morpho, Fluid, Aave), wywołując złe długi, likwidacje i zamrożenia rynku w celu powstrzymania zakażenia.