$25million видобуто. 80 мільйонів USR викарбовано з нічого. Стейбл-коїн втратив прив'язку до 2,5 центів протягом 17 хвилин.

Експлуатація Resolv Labs — один з найбільш виконаних атак на інфраструктуру, які DeFi бачив у 2026 році — й технічні деталі показують ровесно, чому управління ключами поза ланцюгом залишається найбільшим невирішеним вектором ризику в децентралізованих фінансах.

Що сталося.

Зловмисник скомпрометував хмарну інфраструктуру Resolv і отримав доступ до середовища AWS Key Management Service (KMS) протоколу — де зберігався привілейований ключ підписи для функції SERVICE_ROLE. Звідси шлях був простим: внести 100000 USDC до контракту USR Counter через функцію requestSwap, потім використати скомпрометований SERVICE_ROLE для виклику completeSwap() і встановити суму карбування на 50 мільйонів USR замість пропорційної суми, на яку довіяла б депозит.

Це повторювалося. Загалом приблизно 80 мільйонів USR були викарбовані під кілька сотень тисяч доларів застави. Зловмисник одразу перейшов до пулу Curve USR/USDC. Прив'язка USR впала до 2,5 центів — 17 хвилин після першого карбування.

Розповсюдження.

USR та його обгорнуті похідні — wstUSR і RLP — були інтегровані по кількох ринках кредитування DeFi та кураторських хранилищах дохідності. Коли прив'язка впала, ці інтеграції стали зобов'язаннями. Протоколи, які прийняли wstUSR як застову, раптом були виявлені уразливими. Кілька платформ мали оголосити про їхню вразливість та оновити користувачів щодо статусу їхніх коштів. Це механізм посилення, який перетворює експлуатацію одного протоколу на подію в масштабі сектора.

Відновлення.

Resolv Labs оголосив 23 березня, що відновлює викупи для власників до інциденту. Протокол розпочав вирішення уразливості. IoTeX, який зазнав окремої експлуатації кросс-ланцюгового мосту 21 лютого, одночасно відкрив живий портал претензій, пропонуючи 100% компенсацію постраждалим користувачам.

Більший контекст.

Q1 2026 тепер зафіксував понад $137 мільйонів кумулятивних втрат DeFi. Звіт 2026 State of Onchain Security от Immunefi вказує на середній крипто-хак у розмірі $25 мільйонів — рівно у відповідності з цим інцидентом. П'ятирічний загальний обсяг по 425 відстежуваних хакам тепер становить $11,9 мільярда. Критично: 84% постражданих токенів залишаються нижче рівнів до хаку через півроку після експлуатації. Протокол може відновитися. Послужниця торгівлі токенів рідко це робить.

Інцидент Resolv не був уразливістю розумного контракту в звичайному сенсі — код був не зламаний. Позаланцюгова інфраструктура була. Ця розрізнення надзвичайно важлива для того, як індустрія розмірковує про ризик. Ідеально проаудитований контракт означає нічого, якщо ключ підписи, який ним керує, знаходиться в середовищі хмарного KMS, який можна скомпрометувати.

Структурний урок залишається незмінним з часу порушення Bybit: ризик кастодіального управління та управління ключами є домінуючою поверхнею атаки в крипто. Децентралізуйте контракт, потім залиште ключі на AWS — й ви не децентралізували нічого, що має значення.

Залишайтеся інформовані та торгуйте на платформі, яка ставить безпеку на першість. Gate.com.

‍#ResolvLabsHitByExploitAttack #DeFiSecurity #Gate13thAnniversaryGlobalCelebration #GATEio