Sáng nay, stablecoin $USR của @ResolvLabs đã bị khai thác thông qua việc kẻ tấn công đúc ra khoảng 80 triệu token không có bảo đảm với chỉ khoảng 100-200K USDC. Cuộc khai thác USR của Resolv Labs đã khai thác một lỗ hổng nghiêm trọng trong quy trình đúc hai bước (requestSwap sau đó là completeSwap), nơi kẻ tấn công đã gửi khoảng 100–200K USDC nhưng đã bỏ qua các kiểm tra xác thực—có thể do một SERVICE_ROLE bị xâm phạm hoặc không an toàn được kiểm soát bởi một địa chỉ bên ngoài (EOA) thay vì một multisig, kết hợp với việc thiếu giới hạn số lượng trên chuỗi, thực thi minExpectedAmount, hoặc bảo vệ giá oracle—cho phép đúc ra khoảng 80 triệu token USR không có bảo đảm với tỷ lệ cực kỳ 500:1. Kẻ tấn công sau đó đã đổ những token này vào các bể thanh khoản (chủ yếu là USR/USDC của @CurveFinance), chuyển đổi số tiền thu được thành tài sản thực như ETH và rút ra khoảng 23–25 triệu đô la lợi nhuận, trong khi bể tài sản thế chấp cơ bản của giao thức vẫn hoàn toàn nguyên vẹn và không có tài sản cốt lõi nào bị rút ra, khiến token USR bị mất giá. Cuộc khai thác USR của Resolv Labs đã kích hoạt sự lây lan thứ cấp đáng kể trong các thị trường cho vay, nơi các giao thức như @Morpho (thông qua nhiều bể quản lý như @gauntlet_xyz và những người khác), @0xfluid, @lista_dao, @eulerfinance, và @InverseFinance đã chấp nhận USR, wstUSR, hoặc RLP làm tài sản thế chấp với giả định một tỷ lệ gần 1 đô la, dẫn đến ước tính nợ xấu dao động từ hàng trăm nghìn (ví dụ: khoảng 340K trên thị trường wstUSR-DOLA của Inverse) đến hàng triệu (ví dụ: khoảng 11 triệu đô la tiềm năng trên Fluid và vài triệu trên các bể của Morpho) khi việc mất giá gây ra các vị thế không đủ tài sản thế chấp và buộc phải thanh lý hoặc thoát. Bài học chính trong sự kiện này, điều không phải lần đầu tiên được học trong crypto, là có rất nhiều rủi ro không biết khi tương tác với các giao thức này, vì vậy với tư cách là người sử dụng chúng, bạn cần phải định giá rủi ro này vào quyết định của mình, và khi một cuộc khai thác xảy ra, có một bán kính ảnh hưởng lớn và bất kỳ sản phẩm nào dựa vào một token bị khai thác có thể khiến bạn rơi vào tình huống mất tiền.