I morse utnyttjades @ResolvLabs $USR stablecoin genom en angripare som präglade ~80 miljoner obackade tokens med bara ~100–200 000 USDC. Resolv Labs USR-exploiten utnyttjade en kritisk brist i tvåstegsmintningsprocessen (requestSwap följt av completeSwap), där angriparen deponerade ~100–200 000 USDC men undvek valideringskontroller—troligen på grund av en komprometterad eller osäker SERVICE_ROLE kontrollerad av en enda externt ägd adress (EOA) istället för en multisig, kombinerat med saknade gränser för on-chain mängd, minExpectedAmount enforcement, eller oracle price guards—vilket möjliggör utprägling av ~80 miljoner osäkrade USR-tokens i ett extremt förhållande på 500:1. Angriparen dumpade sedan dessa tokens i likviditetspooler (främst @CurveFinance:s USR/USDC), konverterade intäkterna till reala tillgångar som ETH och tog ut ~23–25 miljoner dollar i vinst, medan protokollets underliggande säkerhetspool förblev helt intakt och inga kärntillgångar tömdes, vilket fick USR-token att avpögas. Resolv Labs USR-utnyttjandet utlöste betydande sekundär smitta på lånemarknaderna, där protokoll som @Morpho (via flera kuratorvalv som @gauntlet_xyz och andra), @0xfluid, @lista_dao, @eulerfinance och @InverseFinance hade accepterat USR, wstUSR eller RLP som säkerhet med en nästan 1 dollar koppling, vilket ledde till uppskattningar av dåliga skulder på hundratusentals (t.ex. ~340 000 dollar på Inverses wstUSR-DOLA-marknad) till miljoner (t.ex. ~11 miljoner dollar potentiell på Fluid och flera miljoner över Morpho-valv) eftersom depegen orsakade underbelånade positioner och tvingade likvidationer eller exit. Den viktigaste lärdomen i detta evenemang, som inte är första gången man lär sig inom krypto, är att det finns mycket okänd risk när man interagerar med dessa protokoll, så som någon som använder dem måste du prissätta in denna risk i ditt beslut, och när en exploit inträffar finns det en stor sprängradie och alla produkter som förlitar sig på en utnyttjad token kan sätta dig i en position där du kan förlora pengar.