Resolv Labs видалили 57% нелегально створених токенів USR

Хакер використав приватний ключ Resolv через AWS Key Management Service, створивши 80 мільйонів непідкріплених токенів USR, використовуючи лише ~$100K у USDC.

Зловмисник конвертував USR у wstUSR, обміняв на стабільні монети та вивів ~$25M у ETH (11 409 ETH), перш ніж хтось встиг відреагувати.

USR обвалився з $1 до $0.025 на Curve Finance за 17 хвилин.

Відповідь Resolv:
→ Спалили ~9М USR у перший день
→ Оновили контракт wstUSR для чорного списку гаманців зловмисника
→ Загалом 46М токенів (57%) назавжди видалено
→ Зараз на гаманцях зловмисника не залишилось нелегальних USR

Але реальність:
→ Зловмисник вже вивів ~$25M у ETH
→ Протокол має ~$95M активів проти більших зобов’язань (функціонально неплатоспроможний)
→ П peg USR НЕ відновлено
→ 18 аудитів не виявили вразливість

Основна причина: відсутність обмежень на створення, відсутність перевірок оракула, створення токенів контролювалося одним приватним ключем. Мульти-підписів не було.

Ключовий урок: Аудити смарт-контрактів самі по собі НЕ достатні. Безпека інфраструктури поза ланцюгом так само критична для DeFi-протоколів.

Викуп доступний лише для власників USR до моменту експлойти через allowlist. Не торгуйте USR під час відновлення.