Esta manhã, a stablecoin $USR da @ResolvLabs foi explorada através de um atacante que cunhou ~80M de tokens não garantidos com apenas ~$100-200K USDC. A exploração do USR da Resolv Labs explorou uma falha crítica no processo de cunhagem em duas etapas (requestSwap seguido de completeSwap), onde o atacante depositou ~$100–200K USDC, mas contornou as verificações de validação—provavelmente devido a um SERVICE_ROLE comprometido ou inseguro controlado por um único endereço externo (EOA) em vez de um multisig, combinado com a falta de limites de montante em cadeia, enforcement de minExpectedAmount, ou proteções de preço de oráculo—permitindo a cunhagem de ~80 milhões de tokens USR não garantidos a uma razão extrema de 500:1. O atacante então despejou esses tokens em pools de liquidez (principalmente o USR/USDC da @CurveFinance), convertendo os lucros em ativos reais como ETH e extraindo ~$23–25 milhões em lucro, enquanto o pool colateral subjacente do protocolo permaneceu totalmente intacto e nenhum ativo central foi drenado, causando a desanexação do token USR. A exploração do USR da Resolv Labs desencadeou uma contaminação secundária significativa nos mercados de empréstimos, onde protocolos como @Morpho (via múltiplos vaults de curadores como @gauntlet_xyz e outros), @0xfluid, @lista_dao, @eulerfinance, e @InverseFinance aceitaram USR, wstUSR, ou RLP como colateral assumindo um peg próximo de $1, levando a estimativas de dívida ruim variando de centenas de milhares (por exemplo, ~$340K no mercado wstUSR-DOLA da Inverse) a milhões (por exemplo, ~$11M+ potenciais no Fluid e vários milhões em vários vaults da Morpho) à medida que a desanexação causou posições subcolateralizadas e liquidações forçadas ou saídas. A lição chave neste evento, que não é a primeira vez que se aprende em cripto, é que há muito risco desconhecido ao interagir com esses protocolos, então, como alguém que os utiliza, você precisa precificar esse risco em sua decisão, e quando uma exploração acontece, há um grande raio de explosão e qualquer produto que dependa de um token explorado pode colocá-lo em uma posição de perder fundos.