Heute Morgen wurde der $USR Stablecoin von @ResolvLabs durch einen Angreifer ausgenutzt, der ~80 Millionen ungesicherte Token mit nur ~$100-200K USDC mintete. Der Resolv Labs USR Exploit nutzte einen kritischen Fehler im zweistufigen Minting-Prozess (requestSwap gefolgt von completeSwap) aus, bei dem der Angreifer ~$100–200K USDC einzahlte, aber die Validierungsprüfungen umging—wahrscheinlich aufgrund einer kompromittierten oder unsicheren SERVICE_ROLE, die von einer einzigen externen Adresse (EOA) anstelle eines Multisigs kontrolliert wurde, kombiniert mit fehlenden On-Chain-Betragsobergrenzen, der Durchsetzung des minExpectedAmount oder Oracle-Preiswächtern—was das Minting von ~80 Millionen ungesicherten USR-Token zu einem extremen Verhältnis von 500:1 ermöglichte. Der Angreifer dumpte dann diese Token in Liquiditätspools (hauptsächlich @CurveFinance's USR/USDC), konvertierte die Erlöse in reale Vermögenswerte wie ETH und entnahm ~$23–25 Millionen Gewinn, während der zugrunde liegende Sicherheitenpool des Protokolls vollständig intakt blieb und keine Kernvermögenswerte abgezogen wurden, was dazu führte, dass der USR-Token entkoppelt wurde. Der Resolv Labs USR Exploit löste eine signifikante sekundäre Ansteckung auf den Kreditmärkten aus, wo Protokolle wie @Morpho (über mehrere Kurator-Vaults wie @gauntlet_xyz und andere), @0xfluid, @lista_dao, @eulerfinance und @InverseFinance USR, wstUSR oder RLP als Sicherheiten akzeptiert hatten, in der Annahme eines nahezu $1-Pegs, was zu Schätzungen von schlechten Schulden führte, die von Hunderttausenden (z.B. ~$340K auf Inverse's wstUSR-DOLA-Markt) bis zu Millionen (z.B. ~$11M+ potenziell auf Fluid und mehreren Millionen über Morpho-Vaults) reichten, da die Entkopplung unterbesicherte Positionen verursachte und Zwangsliquidationen oder -ausstiege zur Folge hatte. Die wichtigste Lehre aus diesem Ereignis, das nicht das erste Mal in der Krypto-Welt gelernt wurde, ist, dass es viele unbekannte Risiken gibt, wenn man mit diesen Protokollen interagiert. Daher muss man als Nutzer diese Risiken in seine Entscheidungen einpreisen, und wenn ein Exploit passiert, gibt es einen großen Explosionsradius, und jedes Produkt, das auf einem ausgenutzten Token basiert, kann einen in die Lage versetzen, Gelder zu verlieren.