#ResolvLabsHitByExploitAttack

Сектор DeFi вновь был потрясен крупным сбоем безопасности, когда Resolv Labs пострадала от значительной уязвимости, которая обнажила критические слабости не в коде смарт-контрактов, а в более широкой системной архитектуре. То, что изначально выглядело как рутинный протокол, быстро превратилось в многомиллионный взлом, который подорвал доверие, дестабилизировал его стейблкойн и вызвал потрясения на взаимосвязанных платформах DeFi.

В центре инцидента находится нативный стейблкойн Resolv — USR, который был разработан для поддержания привязки к доллару через дельта-нейтральную стратегию. Однако атака выявила критический недостаток: система полагалась на механизм подписания вне сети (off-chain), контролируемый привилегированным приватным ключом. Как только этот ключ был скомпрометирован, злоумышленник получил возможность обойти обычные ограничения на минтинг и создать огромные объемы необеспеченных токенов. По сути, это означало, что злоумышленник мог «печатать» стоимость из ничего — и это именно то, что произошло.

Используя лишь относительно небольшое количество залога, злоумышленник создал приблизительно 80 миллионов токенов USR — объем, несоразмерный входящей стоимости. Это было возможно, потому что смарт-контракт не обеспечивал строгую проверку ограничений минтинга на сети — он просто доверял подписи вне сети. Это единственное решение в проектировании стало самой большой уязвимостью протокола, что еще раз доказывает: в DeFi безопасность только так сильна, как и самое слабое звено — на сети или вне сети.

После создания токенов злоумышленник действовал быстро и стратегически. Необеспеченный USR был преобразован в стейкованные варианты, затем обменян на децентрализованных биржах на более ликвидные и стабильные активы, такие как USDC, и в конце концов переведен в Ethereum. По завершении эксплуатации злоумышленник извлек приблизительно 23–25 миллионов долларов стоимости, продемонстрировав как скорость, так и эффективность выполнения современных эксплуатаций DeFi.

Влияние на рынок было немедленным и серьезным. USR — который должен был поддерживать стабильную $1 привязку — резко упал, в один момент потеряв 70–80% своей стоимости, по сути нарушив свое основное обещание как стабильного актива. Это событие depeg вызвало каскадные эффекты во всей экосистеме DeFi, особенно в протоколах, которые интегрировали USR как залог или ликвидность. Платформы кредитования, стратегии сейфов и системы доходности, полагавшиеся на USR, внезапно столкнулись с массивными потерями, продемонстрировав, насколько взаимосвязаны и хрупки композабельность DeFi во время кризисных событий.

В ответ Resolv Labs быстро приостановила функции минтинга и погашения в попытке сдержать урон и предотвратить дальнейшую эксплуатацию. Однако к этому моменту урон уже распространился на несколько слоев экосистемы, включая пулы ликвидности и хранилища кредитования, которые продолжали работать временно даже после начала эксплуатации — усиливая потери из-за задержек в реагировании.

Что делает эту эксплуатацию особенно важной, так это то, что это была не традиционная атака на смарт-контракт. Сами контракты функционировали так, как они были спроектированы. Вместо этого отказ произошел из-за:

Чрезмерной зависимости от инфраструктуры вне сети
Отсутствия проверки на сети для критических функций
Централизованного контроля через скомпрометированный приватный ключ

Это указывает на растущий тренд в эксплуатации DeFi: по мере того как протоколы становятся все более сложными и интегрируют внешние системы, поверхность атаки расширяется за пределы кода в инфраструктуру, управление ключами и операционную безопасность.

С точки зрения более широкого рынка, этот инцидент подтверждает несколько ключевых реальностей. Во-первых, стейблкойны стабильны только благодаря своему проектированию и контролю рисков — не их брендированию. Во-вторых, композабельность DeFi, хотя и мощная, создает системный риск, когда отказ одного протокола может распространиться на несколько платформ. В-третьих, безопасность в современной криптографии — это уже не просто аудиты; она требует мониторинга в реальном времени, автоматизированных защит и строгих ограничений на привилегированный доступ.

С моей точки зрения, эксплуатация Resolv — это четкое напоминание о том, что следующая фаза эволюции DeFi будет определяться не только инновацией или доходностью — она будет определена архитектурой безопасности и минимизацией доверия. Протоколы, которые продолжают полагаться на централизованные точки управления, даже косвенно, будут оставаться уязвимыми, независимо от того, насколько сложной выглядит их логика на сети.

В заключение, это был не просто еще один взлом — это был отказ проектирования, выявленный под давлением. Десятки миллионов долларов были потеряны, стейблкойн рухнул, и доверие к еще одной системе DeFi было подорвано. Но что более важно, это подчеркнуло более глубокую проблему: в системе, построенной для исключения доверия, доверие все еще существует — просто в других местах. И злоумышленники точно знают, где его искать.