Exploatările DeFi din 2026 au ajuns deja la 137 de milioane de dolari, iar abia în martie este vorba. Clasamentul este brutal: • @StepFinance_: 27,3 milioane de dolari • @Truebitprotocol: 26,2 milioane de dolari • @ResolvLabs: 25 milioane de dolari (ieri) ​ Este rar în istoria DeFi să vezi un depozit de 100.000$ transformat într-o monetărie de 80 milioane de dolari în câteva secunde. Asta îmi amintește de teza lui @a16zcrypto "Spec is Law" de la începutul anului 2026. Iată o analiză completă a ceea ce a mers prost și de ce teza lui a16z nu a fost niciodată mai relevantă 🧵👇

1/ Defectul secret al hotărârii Stablecoin-ul delta neutru (USR) al @ResolvLabs folosea un flux hibrid on-chain/off-chain mint: depozite/răscumpărări on-chain @PythNetwork prețuri verificate off-chain. Un singur SERVICE_ROLE EOA (nu un multisig) a finalizat monetările, creând un punct critic de eșec.

2/ Cum a avut loc extragerea de 25 de milioane de dolari Aceasta nu este o eroare contractuală. În jurul orei 2:21 AM UTC, pe 22 martie, un atacator a compromis cheia SERVICE_ROLE și a ocolit verificarea. - Normal: Utilizatorul depune 100.000$ USDC → SERVICE_ROLE cecuri Oracle → 100.000 USR bătute. - Exploit: Atacatorul depune 100.000$ USDC → Oracle ocolit → 80M USR bătut în două call-uri. - Niciun condensator on-chain, verificări de raport sau limite de aprovizionare nu a oprit acest lucru. Atacatorul a înfășurat și a aruncat USR-ul neînapoiat peste @CurveFinance și @Uniswap, împingând USR până la 0,025 dolari. Au schimbat veniturile la ~11.400+ ETH (~23–25 milioane de dolari). DeFi a lovit protocoale care foloseau USR/wstUSR ca garanție (Morpho, Fluid, Aave), declanșând datorii neperformante, lichidări și înghețări ale pieței pentru a limita contagiunea.