Vuoden 2026 DeFi-hyödyt ovat jo saavuttaneet 137 miljoonaa dollaria, ja nyt on vasta maaliskuu. Tulostaulukko on rankka: • @StepFinance_: 27,3 miljoonaa dollaria • @Truebitprotocol: $26,2M • @ResolvLabs: 25 miljoonaa dollaria (eilen) ​ On harvinaista DeFin historiassa, että 100 000 dollarin talletus muuttuu 80 miljoonan dollarin stablecoiniksi sekunneissa. Tämä muistuttaa minua @a16zcrypto:n opinnäytetyöstä "Spec is Law" alkuvuodesta 2026. Tässä on täydellinen erittely siitä, mikä meni pieleen ja miksi a16z:n väitöskirja ei ole koskaan ollut ajankohtaisempi 🧵👇

1/ Ratkaisun salainen virhe @ResolvLabs' delta-neutraali stablecoin (USR) käytti hybridiä ketjun sisällä ja off-chain -rahapajavirtaa: talletukset/lunastukset ketjussa @PythNetwork hinnoittelu tarkistettu ketjun ulkopuolella. Yksittäinen SERVICE_ROLE EOA (ei multisig) viimeisteli rahapajat, luoden kriittisen yksittäisen vikaantumispisteen.

2/ Kuinka 25 miljoonan dollarin pelastus tapahtui Tämä ei ole sopimusbugi. Noin klo 2:21 UTC 22. maaliskuuta hyökkääjä murtautui SERVICE_ROLE-avaimen ja ohitti vahvistuksen. - Normaali: Käyttäjä tallettaa $100k USDC → SERVICE_ROLE tarkistaa oracle → 100k USR lyöty. - Hyväksikäyttö: Hyökkääjä tallettaa 100 000 USDC → oracle, joka ohittaa →80 miljoonaa USR:ää kahdella callilla. - Ketjun sisäisiä kattoja, suhdetarkistuksia tai toimitusrajoja ei pysäyttänyt sitä. Hyökkääjä kietoi ja pudotti tukemattoman USR:n @CurveFinance ja @Uniswap yli, pudottaen USR:n jopa 0,025 dollariin. He vaihtoivat tuotot ~11 400+ ETH (~$23–$25M). DeFi-spillover iski protokolliin, joissa käytetään USR/wstUSR:ää vakuutena (Morpho, Fluid, Aave), mikä laukaisee huonot velat, likvidaatiot ja markkinoiden jäädytykset tartunnan hillitsemiseksi.