Сьогодні вранці $USR стейблкоїна @ResolvLabs було використано через зловмисника, який викарбував ~80 мільйонів незабезпечених токенів із лише ~100-200 тисяч USDC. Експлойт USR у Resolv Labs використав критичний недолік у двоетапному процесі карбування (requestSwap, а потім completeSwap), коли зловмисник поклав ~$100–200K USDC, але обійшов перевірки валідації — ймовірно, через скомпрометовану або незахищену SERVICE_ROLE, контрольовану однією зовнішньою адресою (EOA) замість мультипідпису, у поєднанні з відсутніми обмеженнями суми в ланцюжку, minExpectedAmount, або oracle price guards, що дозволяє випускати ~80 мільйонів незабезпечених USR-токенів у екстремальному співвідношенні 500:1. Потім зловмисник скинув ці токени у ліквідні пули (переважно USR/USDC @CurveFinance), конвертуючи виручені кошти у реальні активи, такі як ETH, і отримуючи ~$23–25 мільйонів прибутку, при цьому базовий заставний пул протоколу залишався повністю незмінним, а жодні основні активи не були вичерпані, що призвело до депегу токена USR. Експлойт USR у Resolv Labs спричинив значну вторинну інфекцію на ринках кредитування, де протоколи, такі як @Morpho (через кілька сховищ кураторів, такі як @gauntlet_xyz та інші), @0xfluid, @lista_dao, @eulerfinance та @InverseFinance, приймали USR, wstUSR або RLP як заставу, припускаючи прив'язку майже до $1, що призвело до оцінок поганого боргу від сотень тисяч (наприклад, ~$340K на ринку wstUSR-DOLA Inverse) до мільйонів (наприклад, ~$11M+ потенційний на Fluid і кілька мільйонів у сховищах Morpho), оскільки депег спричинив недостатньо забезпечені позиції та примусові ліквідації або виходи. Ключовий урок у цій події, який не вперше засвоєний у криптовалюті, полягає в тому, що при взаємодії з цими протоколами існує багато невідомих ризиків, тому як людина, яка їх використовує, потрібно враховувати цей ризик у своєму прийнятті рішення, а коли експлойт все ж трапляється, радіус вибуху великий, і будь-який продукт, що покладається на використаний токен, може призвести до втрати коштів.