22 марта 2026 года в криптовалютном рынке произошёл очередной крупный инцидент, связанный с безопасностью стейблкоинов. Стейблкоин USR, выпускаемый компанией Resolv Labs, подвергся атаке из-за уязвимости в протоколе. Всего за несколько часов злоумышленники смогли выпустить токены USR на сумму 80 млн долларов посредством несанкционированных операций. Такое «эмиссионное надувание из воздуха» немедленно привело к отвязке USR от курса доллара США: цена упала до $0,025, что означает снижение более чем на 95%. Хотя команда проекта заявила, что базовые залоговые активы не были украдены напрямую, крах доверия и ликвидности вызвал значительные убытки у держателей. В этой статье представлен подробный анализ инцидента с разных сторон: хронология событий, технические детали уязвимости, реакция рынка, исторические параллели и стратегии предотвращения подобных случаев в будущем.
«Инфляция предложения» из-за потери контроля над эмиссией
В первые часы 22 марта 2026 года (UTC+8) протокол Resolv подвергся серьёзной атаке. Используя изъян в системе контроля прав основного контракта выпуска, злоумышленник обошёл стандартную процедуру залога и, используя минимальные средства, выпустил огромное количество стейблкоинов USR «из воздуха».
Ончейн-данные показывают, что злоумышленник сначала внёс на адрес контракта выпуска USR от 100 000 до 200 000 USDC (по разным источникам сумма немного различается). Затем он активировал уязвимость в контракте и за две транзакции выпустил в общей сложности 80 млн USR: сначала 50 млн, затем 30 млн.
- Время атаки: около 22 марта 2026 года, 02:21 UTC
- Объём эмиссии: примерно 80 000 000 USR
- Первоначальные затраты: около 200 000 USDC
- Прибыль злоумышленника: обменяв выпущенные USR на USDC и USDT на децентрализованных биржах, он приобрёл около 11 400 ETH на сумму примерно 23,6 млн долларов.
После инцидента цена USR в крупнейших пулах ликвидности, таких как Curve Finance, обрушилась до $0,025. Команда Resolv оперативно приостановила все функции протокола и опубликовала заявление, что их пул залоговых активов «остался нетронутым» и прямой утраты базовых средств не произошло. Однако это не смогло вернуть спокойствие на рынок.
От сокращения капитализации к разгару кризиса
Для понимания произошедшего важно рассмотреть предысторию протокола Resolv и его стейблкоина USR. Resolv — это стейблкоин-протокол на базе Ethereum. USR не является классическим стейблкоином с фиатным обеспечением; он использует стратегию «дельта-нейтрального» хеджирования, принимая в залог ETH и BTC и страхуя волатильность через деривативные рынки для поддержания курса 1:1 к доллару США.
Ключевые этапы:
- Апрель 2025 года: Resolv объявил о привлечении посевных инвестиций в размере 10 млн долларов под руководством Cyber.Fund и Maven11 при участии Coinbase Ventures и других. Команда утверждала, что прошла 14 аудитов и запустила программу баг-баунти на Immunefi.
- Начало февраля 2026 года: капитализация USR достигла временного максимума около 400 млн долларов. Вскоре после этого начался значительный отток капитала.
- Февраль—март 2026 года: капитализация USR резко сократилась — с 400 млн до примерно 100 млн долларов до атаки, то есть на 75%.
График цены стейблкоина Resolv USR, источник: CoinGecko
- 22 марта 2026 года, 02:21 UTC: злоумышленник воспользовался уязвимостью и выпустил 50 млн USR.
- Около 02:38 UTC: вторая эмиссия на 30 млн USR, после чего курс начал резко отклоняться от доллара.
- После 03:00 UTC: Resolv официально подтвердил факт атаки и объявил о приостановке работы протокола.
Стремительное сокращение капитализации до атаки вызвало в сообществе подозрения в инсайдерских продажах. Хотя подтвердить инсайдерскую активность невозможно, это говорит о том, что протокол находился в уязвимом состоянии ещё до кризиса. Низкая ликвидность создала «идеальные условия» для злоумышленников, чтобы сбыть свои токены.
Возможно, злоумышленники обнаружили уязвимость или получили привилегированный доступ заранее, выбрав момент для атаки, когда общий заблокированный капитал был минимальным, а ликвидность — низкой, чтобы максимизировать прибыль.
Где была корневая причина?
Главная проблема заключалась в «несанкционированной эмиссии». По данным компаний по блокчейн-безопасности Cyvers и PeckShield, а также ончейн-аналитиков, речь шла не о сложной ошибке в смарт-контракте, а о критическом сбое в системе контроля прав.
Разбор уязвимости
| Параметр анализа | Детали |
|---|---|
| Тип уязвимости | Ошибка контроля доступа / уязвимость в правах доступа |
| Ключевая роль | SERVICE_ROLE (служебная роль) |
| Обладатель прав | Обычный внешний аккаунт, а не мультиподписной контракт |
| Отсутствующие механизмы | Нет лимита на эмиссию, нет проверки через ценовой оракул, нет контроля объёмов |
| Метод атаки | Привилегированная роль вызвала функцию выпуска, обойдя проверку залоговых активов |
- Риск единственного приватного ключа: роль
SERVICE_ROLE, отвечавшая за обработку заявок на погашение, контролировалась обычным внешним аккаунтом, а не более защищённым мультиподписным кошельком или контрактом с временной блокировкой. В случае компрометации приватного ключа злоумышленник получал неограниченные права на эмиссию. - Отсутствие валидации: контракт выпуска не сверял объём эмиссии с реальной стоимостью залога и не устанавливал лимиты на транзакцию или сутки. Злоумышленник внёс 200 000 USDC, но контракт позволил выпустить 80 млн USR — крайне несоразмерное соотношение.
- Нет ончейн-мониторинга и оповещений: несмотря на многочисленные аудиты, они были ориентированы на статический анализ кода и не предусматривали поведенческий мониторинг в реальном времени. При аномальной эмиссии протокол не инициировал автоматическую приостановку или оповещение.
Этот случай подтверждает известный принцип: аудиты не являются панацеей. Аудит может проверить логику кода, но не способен устранить ошибки в управлении правами. Передача ключевых полномочий по эмиссии одному адресу — это всё равно что повесить ключ от сейфа на входную дверь.
Мнения сообщества и экспертов разделились
После инцидента мнения в сообществе резко разошлись, в основном по вопросам ответственности и оценки ущерба.
Фундаментальные просчёты в архитектуре протокола
Генеральный директор Cyvers Дедди Лавид и другие эксперты считают, что причиной инцидента стала «архитектурная халатность». Даже без прямого взлома схема «контроль эмиссии одним адресом» была заложенной миной. Система безопасности должна включать не только статические аудиты, но и динамический мониторинг в реальном времени — особенно для операций по выпуску, ценообразованию и ликвидности.
Позиция проекта и реальные потери
Официальная позиция Resolv акцентировала внимание на том, что «пул залоговых активов остался цел, утраты базовых средств не было». Однако большинство участников рынка расценили это как «игру словами». Хотя злоумышленники не вывели ETH или BTC напрямую из хранилища, выпуская новые токены и продавая их, они фактически вывели из пулов ликвидности десятки миллионов долларов в ETH. Для держателей USR стоимость их токенов моментально сократилась на 95% — это реальные и тяжёлые убытки.
Спор: не справились ли аудиторы?
Resolv утверждает, что прошёл 14 аудитов, однако столь серьёзная уязвимость в правах доступа осталась, что породило дискуссию об эффективности аудитов. Некоторые считают, что аудиторы сосредотачиваются на классических уязвимостях, таких как реентерабельность и переполнение, но игнорируют «бизнес-логику» и контроль разрешений. Другие полагают, что если команда проекта сознательно некорректно настроила права и не раскрыла это аудиторам, те не могли выявить риск.
Осторожно: ловушка «технической корректности»
Анализируя подобные инциденты, важно отделять объективные факты от нарратива проекта.
- Факты:
- Злоумышленник выпустил 80 млн USR без обеспечения.
- Рыночная цена USR рухнула более чем на 95%.
- Злоумышленник получил прибыль около 23,6 млн долларов в ETH.
- Протокол был приостановлен, а держатели USR не могли обменять токены по курсу 1:1.
- Нарратив проекта:
- «Пул залоговых активов не пострадал, утраты базовых средств нет».
- «Инцидент затронул только механизм выпуска USR».
- Оценка достоверности:
Заявление «утраты базовых активов нет» технически верно, так как залог (ETH/BTC) не был напрямую выведен из хранилища. Однако это игнорирует главный факт: «суть стейблкоина — в доверии». Если протокол допускает неограниченную эмиссию токенов, и эти токены поступают на рынок, стоимость залога размывается. Владельцы стейблкоина несут «убытки от размывания», которые столь же разрушительны, как и прямое хищение.
Влияние на отрасль: серьёзный сигнал для DeFi
Случай с Resolv — это не просто отдельный инцидент, а демонстрация системных рисков современного DeFi.
Хрупкость «доходных» стейблкоинов
USR — это стейблкоин с доходностью, который генерирует прибыль для пользователей через сложные стратегии с деривативами, такие как арбитраж на ставках финансирования. Этот случай показал, что сложные стратегии и архитектура прав увеличивают поверхность атаки. Когда ожидания по доходности вступают в противоречие с требованиями безопасности, безопасность часто оказывается на втором плане.
Провалы в работе оракулов и механизмов ликвидации
Когда цена USR упала до $0,025, кредитные протоколы, принимавшие USR в залог (например, Morpho), столкнулись с огромными рисками. Если эти протоколы использовали оффчейн-оракулы или медленные источники цен, пользователи могли брать кредиты по цене $1 за USR, хотя реальная стоимость залога была близка к нулю, что приводило к образованию безнадёжных долгов.
Развенчание «мифа об аудитах»
Проект ссылался на 14 аудитов. Это напоминание для отрасли: количество аудитов не равно уровню безопасности. Рынку необходима более прозрачная система оценки рисков, включающая комплексный анализ управления протоколом, контроля прав и мониторинга движения средств.
Сценарный анализ: возможные варианты развития событий
На основе текущей ситуации можно выделить несколько сценариев дальнейшего развития.
| Тип сценария | Описание | Ключевые факторы |
|---|---|---|
| Оптимистичный | Проект возвращает часть средств и запускает компенсационную программу. Сотрудничая с компаниями по безопасности, отслеживает ончейн-активы, часть ETH может быть заморожена. Оставшийся залог распределяется между пострадавшими пропорционально. Протокол проходит полную модернизацию, внедряет мультиподписи и временные блокировки. | Скорость вмешательства правоохранительных органов, движение активов в приватные сервисы |
| Базовый | Проект завершает внутреннее расследование, объявляет план возврата средств (например, выпуск новых токенов), но компенсация ограничена. После перезапуска доверие пользователей остаётся низким, общий заблокированный капитал не растёт. Усиливается регуляторное давление на доходные стейблкоины. | Финансовая устойчивость проекта, способность восстановить консенсус в сообществе |
| Пессимистичный | Вернуть средства не удаётся, компенсационный план не согласован, команда распадается. USR обесценивается до нуля, кредитные протоколы, принимавшие USR в залог, сталкиваются с каскадными ликвидациями и миллионными долгами. Это ещё сильнее подрывает доверие к производным инструментам DeFi. | Достаточность страховых фондов кредитных протоколов для покрытия убытков |
Заключение
Инцидент с Resolv USR — наглядный урок по вопросам базовой безопасности DeFi. Он ясно показывает: в мире децентрализованных финансов «привилегия» равна «риску». Если судьба протокола зависит от одного приватного ключа, никакая сложность экономической модели и количество аудитов не спасут от катастрофы при его компрометации.
Для пользователей важно осознавать эти риски. Перед участием в любом DeFi-протоколе — особенно в проектах стейблкоинов — стоит обратить внимание на несколько ключевых аспектов: используется ли мультиподпись для управления основными правами? Есть ли ончейн-мониторинг в реальном времени и механизмы аварийной остановки? Управляются ли права через временные блокировки? Безопасность должна быть не только обещанием в whitepaper, но и реализована в каждом параметре кода.
Стремясь к росту активов, всегда повышайте свою осведомлённость о рисках. Не гонитесь слепо за высокой доходностью в ущерб безопасности протокола. Мы продолжим отслеживать подобные инциденты, предоставляя глубокий отраслевой анализ и предупреждения о рисках, чтобы способствовать формированию более устойчивой среды для торговли криптоактивами.
