2026'daki DeFi istismarları şimdiye kadar $137 M'ye ulaştı ve henüz Mart ayıydı. Liderlik tablosu çok acımasız: • @StepFinance_: $27.3M • @Truebitprotocol: $26.2M • @ResolvLabs: 25 milyon dolar (dün) ​ DeFi tarihinde 100 bin dolarlık bir depozitonun saniyeler içinde 80 milyon dolarlık bir stabilcoin biçin dönüşmesi nadirdir. Bu bana @a16zcrypto'un 2026'nın başındaki tezi "Spec is Law"u hatırlatıyor. İşte neyin yanlış gittiğinin ve a16z'nin tezinin neden hiç bu kadar önemli 🧵👇 olmadığının tam bir özeti

1/ Kararlılığın Gizli Kusuru @ResolvLabs'nin delta-nötr stabilcoin (USR) hibrit bir zincir üzeri/zincir dışı mint akışı kullandı: mevduatlar/geri ödeme zincir üzerinde, @PythNetwork fiyatlandırma zincir dışı doğrulandı. Tek bir SERVICE_ROLE EOA (çoklu sig değil) naphaneleri tamamladı ve kritik tek bir arıza noktası oluşturdu.

2/ 25 milyon dolarlık çıkarımın nasıl gerçekleştiğini Bu bir sözleşme hatası değil. 22 Mart UTC saat 2:21 civarında, bir saldırgan SERVICE_ROLE anahtarını ele geçirdi ve doğrulamayı atladı. - Normal: Kullanıcı 100k USDC yatırır → SERVICE_ROLE 100k USR basılmış oracle → çek yapar. - İstümar: Saldırgan, iki çağrıda basılan 80M USR → 80M USR atlatılmış 100 bin USDC → oracle yatırır. - Zincir üzerindeki hiçbir kapanlık, oran kontrolü veya arz limitleri bunu durdurmadı. Saldırgan, desteksiz USR'yi @CurveFinance ve @Uniswap boyunca sardı ve USR'yi 0,025 dolara kadar indirdi. Gelirleri ~11.400+ ETH (~$23–$25M) olarak takas ettiler. USR/wstUSR'yi teminat olarak kullanan DeFi sızıntısı protokollerine (Morpho, Fluid, Aave) vurdu; bu da kötü borçları, tasfiyeleri ve bulaşmayı kontrol altına almak için piyasa dondurmalarını tetikledi.