Вчера произошел масштабный взлом стейблкоина USR от Resolv, и цена упала на 70% из-за того, что кто-то вывел примерно 25 миллионов долларов. Токен, который должен стоить $1, упал до $0.27 и так и не восстановился.

Вся суть в том, что в смарт-контракте было полно дыр. Привилегированная учетная запись управлялась одним ключом без мультиподписи, не было проверок оракула и вообще никаких лимитов на выпуск токенов. Атакующий внес 100k USDC и получил 50 миллионов USR в обмен - в 500 раз больше, чем должно было быть. После того, как создали 80 миллионов поддельных токенов, хакер обменял их на USDC и USDT через децентрализованные биржи, затем конвертировал в ETH. Сейчас держит 11,409 ETH (около $23.7M) и еще примерно $1.1M в обернутых USR.

Резолв сначала назвал это компрометацией приватного ключа, но потом выяснилось, что проблема намного глубже - это структурные ошибки в дизайне контракта. Команда сейчас работает с правоохранительными органами и аналитиками блокчейна, чтобы вернуть активы. Пока просят не торговать USR, потому что это может помешать восстановлению.

ТВЛ проекта был на пике 684 миллиона в феврале, но к моменту взлома упал до 95 миллионов. Типичная история про слабую безопасность - один ключ, который контролирует всё, это всегда плохо заканчивается.