Ce matin, le stablecoin $USR de @ResolvLabs a été exploité par un attaquant qui a minté ~80 millions de tokens non garantis avec seulement ~$100-200K USDC. L'exploitation de Resolv Labs USR a exploité une faille critique dans le processus de minting en deux étapes (requestSwap suivi de completeSwap), où l'attaquant a déposé ~$100–200K USDC mais a contourné les vérifications de validation—probablement en raison d'un SERVICE_ROLE compromis ou non sécurisé contrôlé par une seule adresse externe (EOA) au lieu d'un multisig, combiné avec l'absence de plafonds de montant on-chain, l'application de minExpectedAmount, ou des gardes de prix oracle—permettant le minting de ~80 millions de tokens USR non garantis à un ratio extrême de 500:1. L'attaquant a ensuite déversé ces tokens dans des pools de liquidité (principalement le USR/USDC de @CurveFinance), convertissant les bénéfices en actifs réels comme l'ETH et extrayant ~$23–25 millions de profit, tandis que le pool de collatéral sous-jacent du protocole est resté entièrement intact et aucun actif principal n'a été drainé, provoquant le dépegging du token USR. L'exploitation de Resolv Labs USR a déclenché une contagion secondaire significative sur les marchés de prêt, où des protocoles comme @Morpho (via plusieurs coffres de curateurs tels que @gauntlet_xyz et d'autres), @0xfluid, @lista_dao, @eulerfinance, et @InverseFinance avaient accepté USR, wstUSR, ou RLP comme collatéral en supposant un peg proche de 1$, entraînant des estimations de mauvaise dette allant de centaines de milliers (par exemple, ~$340K sur le marché wstUSR-DOLA d'Inverse) à des millions (par exemple, ~$11M+ potentiel sur Fluid et plusieurs millions à travers les coffres Morpho) alors que le dépegging a causé des positions sous-collatéralisées et forcé des liquidations ou des sorties. La leçon clé de cet événement, qui n'est pas la première fois apprise dans la crypto, est qu'il y a beaucoup de risques inconnus lorsque l'on interagit avec ces protocoles, donc en tant que personne les utilisant, vous devez prendre en compte ce risque dans votre décision, et lorsque qu'une exploitation se produit, il y a un large rayon d'explosion et tout produit s'appuyant sur un token exploité peut vous mettre dans une position de perte de fonds.