Bu sabah @ResolvLabs'$USR stabilcoin, saldırganın sadece ~100-200K USDC ile ~80M teyanetsiz token basmasıyla sömürüldü. Resolv Labs USR açıklığı, saldırganın ~100–200K USDC yatırdığı ancak doğrulama kontrollerini atlattığı kritik bir hatadan (requestSwap sonrasında completeSwap) yararlandı; muhtemelen çoklu sig yerine tek bir dış sahipli adres (EOA) tarafından kontrol edilen tehlikeye atılmış veya güvensiz bir SERVICE_ROLE ve zincir içi miktar sınırlarının eksikliği nedeniyle, minExpectedAmount uygulaması veya oracle fiyat korumaları—~80 milyon desteklenmemiş USR tokenının aşırı 500:1 oranında basılmasına izin verir. Saldırgan daha sonra bu tokenları likidite havuzlarına (özellikle @CurveFinance'nin USR/USDC'sine aktardı, gelirleri ETH gibi gerçek varlıklara dönüştürdü ve ~23–25 milyon dolar kâr elde etti; protokolün temel teminat havuzu ise tamamen sağlam kaldı ve hiçbir temel varlık boşalmadı, bu da USR tokenının depes etmesine neden oldu. Resolv Labs USR açıklığı, kredi verme piyasalarında önemli ikincil bulaşıcı oluşmaya yol açtı; @Morpho (@gauntlet_xyz ve diğerleri gibi birden fazla küratör kasası aracılığıyla), @0xfluid, @lista_dao, @eulerfinance ve @InverseFinance gibi protokollerin USR, wstUSR veya RLP'yi teminat olarak kabul ettiği ve yaklaşık 1 dolar bir peg varsayıldığında kötü borç tahminlerinin yüz binlerce arasında değişmesine yol açtı (örneğin, Inverse'in wstUSR-DOLA pazarında ~$340K) milyonlarca (örneğin, Fluid'de ~$11M+ potansiyel ve Morpho kasalarında birkaç milyon) çünkü depeg teminat altındaki pozisyonlar ve zorunlu tasfiye veya çıkışlara yol açtı. Bu olaydaki temel ders, ki kriptoda ilk kez öğrenilmiyor, bu protokollerle etkileşimde bulunduğunuzda çok fazla bilinmeyen risk olduğudur; bu yüzden onları kullanan biri olarak bu riski kararınıza göre değerlendirmelisiniz ve bir haç gerçekleştiğinde büyük bir patlama yarıçapı oluşur ve sömürülen tokena dayanan herhangi bir ürün sizi fon kaybetme riskine sokabilir.