Сегодня утром стейблкоин $USR от @ResolvLabs был скомпрометирован через атаку, в результате которой было выпущено ~80 миллионов необеспеченных токенов всего за ~$100-200K USDC. Эксплуатация USR от Resolv Labs использовала критическую уязвимость в двухступенчатом процессе выпуска (requestSwap, за которым следовал completeSwap), где злоумышленник внес ~$100–200K USDC, но обошел проверки валидации — вероятно, из-за скомпрометированной или небезопасной SERVICE_ROLE, контролируемой одним внешним адресом (EOA) вместо мультиподписного кошелька, в сочетании с отсутствием лимитов на сумму в блокчейне, принудительным соблюдением minExpectedAmount или защитой цен оракула — что позволило выпустить ~80 миллионов необеспеченных токенов USR в экстремальном соотношении 500:1. Затем злоумышленник сбросил эти токены в ликвидные пулы (в основном в USR/USDC от @CurveFinance), конвертировав выручку в реальные активы, такие как ETH, и извлекая ~$23–25 миллионов прибыли, в то время как основной пул залога протокола остался полностью целым, и никакие основные активы не были израсходованы, что привело к обесцениванию токена USR. Эксплуатация USR от Resolv Labs вызвала значительное вторичное заражение на кредитных рынках, где такие протоколы, как @Morpho (через несколько кураторских хранилищ, таких как @gauntlet_xyz и другие), @0xfluid, @lista_dao, @eulerfinance и @InverseFinance принимали USR, wstUSR или RLP в качестве залога, предполагая близкий к $1 паритет, что привело к оценкам плохого долга от сотен тысяч (например, ~$340K на рынке wstUSR-DOLA от Inverse) до миллионов (например, потенциально ~$11M+ на Fluid и несколько миллионов по хранилищам Morpho), поскольку обесценивание вызвало недостаточно обеспеченные позиции и принудительные ликвидации или выходы. Ключевой урок этого события, который не в первый раз усваивается в криптоиндустрии, заключается в том, что существует много неизвестных рисков при взаимодействии с этими протоколами, поэтому, как пользователь, вам нужно учитывать этот риск в своем решении, и когда происходит эксплуатация, радиус поражения велик, и любой продукт, полагающийся на скомпрометированный токен, может поставить вас в положение потери средств.