Вчора стався масштабний злом стейблкоіна USR від Resolv, і ціна впала на 70% через те, що хтось вивів приблизно 25 мільйонів доларів. Токен, який мав коштувати $1, впав до $0.27 і так і не відновився.

Уся суть у тому, що в смарт-контракті було багато дірок. Привілейований обліковий запис керувався одним ключем без мультипідпису, не було перевірок оракула і взагалі ніяких лімітів на випуск токенів. Атакуючий внес 100k USDC і отримав 50 мільйонів USR у обмін — у 500 разів більше, ніж мало бути. Після того, як створили 80 мільйонів підроблених токенів, хакер обміняв їх на USDC і USDT через децентралізовані біржі, потім конвертував у ETH. Зараз тримає 11 409 ETH ( приблизно на $23.7М) і ще приблизно $1.1М у обгорнутих USR.

Resolv спочатку назвав це компрометацією приватного ключа, але потім з’ясувалося, що проблема набагато глибша — це структурні помилки у дизайні контракту. Команда зараз працює з правоохоронними органами та аналітиками блокчейну, щоб повернути активи. Поки просять не торгувати USR, бо це може завадити відновленню.

TVL проекту був на піку 684 мільйони у лютому, але до моменту зламу впав до 95 мільйонів. Типова історія про слабку безпеку — один ключ, який контролює все, завжди закінчується погано.