DeFi exploity v roce 2026 už dosáhly 137 milionů dolarů a je teprve březen. Žebříček je brutální: • @StepFinance_: 27,3 milionu dolarů • @Truebitprotocol: 26,2 milionu USD • @ResolvLabs: $25M (včera) ​ V historii DeFi je vzácné, aby se vklad 100 000 dolarů během pár sekund proměnil v stablecoin za 80 milionů dolarů. To mi připomíná @a16zcrypto diplomovou práci "Spec is Law" z počátku roku 2026. Zde je kompletní rozbor toho, co se pokazilo a proč teze a16z nikdy nebyla relevantnější 🧵👇

1/ Tajná vada odhodlání @ResolvLabs delta-neutrální stablecoin (USR) používal hybridní on-chain/off-chain mint flow: vklady/odkupy on-chain @PythNetwork ověřené ceny mimo chain. Jeden SERVICE_ROLE EOA (nikoli multisig) finalizoval mincovny, čímž vznikl kritický jediný bod selhání.

2/ Jak proběhla extrakce 25 milionů dolarů Nejde o chybu ve smlouvě. Kolem 2:21 ráno UTC 22. března útočník kompromitoval klíč SERVICE_ROLE a obešel ověření. - Normální: Uživatel vloží 100 000 USD → SERVICE_ROLE šeky orákulum → 100 tisíc USDR vyražených. - Exploit: Útočník vkládá 100 000 USD → orákulum obcházeno → 80 milionů USR ražených ve dvou hovorech. - Žádné limity na řetězci, kontroly poměrů ani limity dodávek ji nezastavily. Útočník omotal a shodil nechráněnou USR přes @CurveFinance a @Uniswap, čímž USR stlačil až na 0,025 $. Výtěžek si vyměnili na ~11 400+ ETH (~$23–$25M). DeFi spillover hitové protokoly využívající USR/wstUSR jako zástavu (Morpho, Fluid, Aave), což vyvolává špatné dluhy, likvidace a zmrazení trhu, aby omezily nákazu.