Эксплуатации DeFi в 2026 году уже достигли $137M, и это только март. Лидеры таблицы жестоки: • @StepFinance_: $27.3M • @Truebitprotocol: $26.2M • @ResolvLabs: $25M (вчера) ​ Редко в истории DeFi можно увидеть, как депозит в $100k превращается в $80M в стейблкоинах за секунды. Это напоминает мне тезис @a16zcrypto "Спекуляция — это закон" в начале 2026 года. Вот полный разбор того, что пошло не так, и почему тезис a16z никогда не был более актуальным 🧵👇

1/ Секретный недостаток Resolv @ResolvLabs’ дельта-нейтральная стейблкоин (USR) использовала гибридный процесс выпуска на блокчейне/вне блокчейна: депозиты/выкупы на блокчейне, цены @PythNetwork проверялись вне блокчейна. Один SERVICE_ROLE EOA (не мультиподписной) завершал выпуск, создавая критическую единую точку отказа.

2/ Как произошла экстракция на $25M Это не ошибка контракта. Около 2:21 AM UTC 22 марта злоумышленник скомпрометировал ключ SERVICE_ROLE и обошел проверку. - Нормально: Пользователь вносит $100k USDC → SERVICE_ROLE проверяет оракул → 100k USR выпущено. - Эксплуатация: Злоумышленник вносит $100k USDC → оракул обойден → 80M USR выпущено за два вызова. - Никакие ограничения по цепочке, проверки соотношений или лимиты на поставку не остановили это. Злоумышленник завернул и сбросил необеспеченный USR через @CurveFinance и @Uniswap, опустив USR до $0.025. Они обменяли выручку на ~11,400+ ETH (~$23–$25M). Спиловер DeFi ударил по протоколам, использующим USR/wstUSR в качестве залога (Morpho, Fluid, Aave), вызвав плохие долги, ликвидации и заморозки рынка для сдерживания заражения.