22 березня 2026 року відбулася ще одна масштабна інцидент безпеки стейблкоїнів на крипторинку. Стейблкоїн USR, який випускає компанія Resolv Labs, був скомпрометований через вразливість у протоколі. Лише за кілька годин зловмисники змогли здійснити несанкціонований випуск токенів USR на суму 80 мільйонів доларів. Ця «емісія з повітря» одразу призвела до втрати прив’язки USR до долара США: ціна впала до $0,025, що означає більш ніж 95% зниження. Хоча команда проєкту заявила, що базові заставні активи не були безпосередньо викрадені, крах довіри ринку та ліквідності спричинив значні збитки для власників токенів. У цій статті подано комплексний аналіз інциденту з різних ракурсів: хронологія подій, технічні деталі вразливості, ринкові настрої, історичні паралелі та стратегії запобігання подібним випадкам у майбутньому.
«Інфляція пропозиції» через втрату контролю над емісією
У ніч на 22 березня 2026 року (UTC+8) протокол Resolv зазнав серйозної атаки. Зловмисник скористався помилкою у системі контролю прав доступу основного контракту емісії, обійшов стандартну процедуру внесення застави і, використавши мінімальні кошти як забезпечення, випустив значний обсяг стейблкоїнів USR фактично «з повітря».
Дані блокчейна свідчать: спочатку зловмисник вніс на адресу контракту емісії USR від 100 000 до 200 000 USDC (різні джерела наводять незначні розбіжності). Далі він активував вразливість у контракті та здійснив два випуски: спочатку 50 мільйонів USR, потім ще 30 мільйонів USR — загалом 80 мільйонів токенів.
- Час атаки: близько 22 березня 2026 року, 02:21 (UTC)
- Загальний обсяг емісії: приблизно 80 000 000 USR
- Початкові витрати: близько 200 000 USDC
- Прибуток зловмисника: обмінявши випущені USR на USDC і USDT на децентралізованих біржах, зловмисник придбав близько 11 400 ETH, що оцінюється приблизно у 23,6 мільйона доларів.
Після інциденту ціна USR у великих пулах ліквідності, таких як Curve Finance, швидко обвалилася до $0,025. Команда Resolv оперативно відреагувала: призупинила всі функції протоколу та оприлюднила заяву, що їхній пул застави «залишився недоторканим» і прямих втрат базових активів не було. Проте це не змогло заспокоїти ринок.
Від скорочення капіталізації до кризи
Щоб зрозуміти суть інциденту, слід розглянути передумови протоколу Resolv та його стейблкоїна USR. Resolv — це стейблкоїн-протокол на базі Ethereum. Його USR не є класичним стейблкоїном із фіатним забезпеченням; він використовує «дельта-нейтральну» стратегію хеджування, залучаючи ETH і BTC як заставу та хеджуючи волатильність цін через ринки деривативів для підтримки прив’язки 1:1 до долара США.
Основні етапи розвитку:
- Квітень 2025 року: Resolv оголосив про залучення 10 мільйонів доларів у раунді seed, який очолили Cyber.Fund і Maven11, за участі Coinbase Ventures та інших. Команда повідомила про проходження 14 аудитів і наявність програми bug bounty на Immunefi.
- Початок лютого 2026 року: капіталізація USR досягла тимчасового максимуму близько 400 мільйонів доларів. Невдовзі після цього розпочався суттєвий відтік капіталу.
- Лютий–березень 2026 року: капіталізація USR стрімко скоротилася з 400 мільйонів до приблизно 100 мільйонів доларів до моменту атаки, тобто на 75%.
Графік ціни стейблкоїна Resolv USR, джерело: CoinGecko
- 22 березня 2026 року, 02:21 (UTC): зловмисник використав вразливість для емісії 50 мільйонів USR.
- Близько 02:38 (UTC): другий випуск 30 мільйонів USR, після чого ціна почала стрімко втрачати прив’язку.
- Після 03:00 (UTC): Resolv офіційно підтвердив атаку та оголосив про призупинення роботи протоколу.
Стрімке скорочення капіталізації перед атакою спричинило спекуляції у спільноті щодо можливого інсайдерського продажу. Хоча це не було підтверджено, ситуація свідчила про крихкість протоколу ще до кризи. Низька ліквідність створила «ідеальні умови» для зловмисників, щоб реалізувати свої токени.
Можливо, зловмисники виявили вразливість або отримали привілейований доступ раніше, обравши момент для атаки, коли загальна заблокована вартість була низькою, а ліквідність — обмеженою, щоб максимізувати прибуток.
Де була першопричина?
Ключова проблема — «несанкціонований випуск токенів». За даними компаній з безпеки блокчейна, таких як Cyvers і PeckShield, а також ончейн-аналітиків, вразливість полягала не у складній помилці смартконтракту, а у критичній помилці в управлінні правами доступу.
Аналіз вразливості
| Вимір аналізу | Деталі |
|---|---|
| Тип вразливості | Помилка контролю прав / вразливість у доступі |
| Ключова роль | SERVICE_ROLE (сервісна роль) |
| Власник прав | Одна зовнішня адреса, а не мультипідписний контракт |
| Відсутні механізми | Відсутність ліміту емісії, перевірки цінового оракула, контролю кількості |
| Метод атаки | Привілейована роль викликала функцію емісії, обійшовши перевірку застави |
- Ризик одного приватного ключа: роль
SERVICE_ROLE, яка обробляла запити на викуп токенів, контролювалась звичайною зовнішньою адресою, а не більш захищеним мультипідписним гаманцем чи контрактом із затримкою виконання (timelock). Якщо приватний ключ було скомпрометовано, зловмисники отримували необмежені права на емісію. - Відсутність перевірок: контракт емісії не звіряв обсяг запиту на випуск із реальною вартістю застави, а також не встановлював ліміти на транзакцію чи добу. Зловмисник вніс 200 000 USDC, але контракт дозволив випустити 80 мільйонів USR — абсолютно невідповідна пропорція.
- Відсутність моніторингу та сповіщень: Попри численні аудити, вони були зосереджені на статичному аналізі коду й не передбачали моніторингу поведінки у реальному часі. Коли відбулася аномальна емісія, протокол не активував автоматичну зупинку чи сповіщення.
Цей інцидент підтверджує відому аксіому: аудит безпеки — не панацея. Аудит може перевірити логіку коду, але не здатен виправити хибне управління правами. Довіряти ключову роль емісії одній адресі — все одно, що повісити ключ від сейфу на вхідні двері.
Дискусії у спільноті та серед експертів
Після події ринкова думка розділилася, головним чином щодо відповідальності та оцінки наслідків.
Фундаментальні недоліки архітектури протоколу
Генеральний директор Cyvers Дедді Лавід та інші вважають, що інцидент виник через «архітектурну недбалість». Навіть без прямого злому, дизайн із «контролем емісії через одну адресу» був закладеною міною. Система безпеки повинна охоплювати не лише статичні аудити, а й динамічний моніторинг у реальному часі, особливо для емісії, ціноутворення та ліквідності.
Заяви проєкту проти реальних збитків
Офіційна позиція Resolv підкреслювала: «пул застави не постраждав, базові активи не втрачені». Проте більшість спільноти розцінила це як «гру слів». Хоча зловмисники не вивели ETH чи BTC безпосередньо із сейфу, шляхом емісії нових токенів і їх продажу вони фактично вивели з пулів ліквідності десятки мільйонів доларів в ETH. Для власників USR це означало миттєве знецінення токенів на 95% — реальні та катастрофічні збитки.
Дискусія: чи винні аудитори?
Resolv заявляв про проходження 14 аудитів, але така серйозна вразливість у правах доступу залишилася, що викликало сумніви у якості аудитів. Дехто стверджує, що аудитори зосереджуються на класичних помилках, як-от повторний виклик функцій (reentrancy) чи переповнення, і нехтують «бізнес-логікою» та управлінням правами. Інші вважають, що якщо команда свідомо некоректно налаштувала права, але не повідомила про це аудиторам, ті не могли виявити ризик.
Обережно з «технічно коректними» твердженнями
Аналізуючи такі інциденти, важливо розрізняти об’єктивні факти та риторику проєкту.
- Факти:
- Зловмисник випустив 80 мільйонів USR без застави.
- Ринкова ціна USR впала більш ніж на 95%.
- Зловмисник отримав прибуток близько 23,6 мільйона доларів у ETH.
- Протокол було призупинено, а власники USR не могли здійснити викуп активів за курсом 1:1.
- Позиція проєкту:
- «Пул застави не постраждав, базові активи не втрачені».
- «Інцидент стосується лише механізму емісії USR».
- Оцінка правдивості:
Твердження «базові активи не втрачені» технічно коректне, адже ETH/BTC не були безпосередньо виведені із сейфу. Але це ігнорує суть: «стейблкоїн тримається на довірі». Коли протокол дозволяє необмежену емісію токенів і вони потрапляють на ринок, вартість застави розмивається. Власники стейблкоїнів зазнають «збитків від розмивання», які за масштабом не поступаються прямому викраденню.
Вплив на індустрію: серйозний сигнал для DeFi
Інцидент Resolv — це не просто ізольований випадок безпеки, а прояв системних ризиків сучасної DeFi-екосистеми.
Крихкість стейблкоїнів із дохідністю
USR — це стейблкоїн із дохідністю, що генерує прибуток для користувачів через складні стратегії деривативів, наприклад, арбітраж фінансування. Подія показала: складність стратегій і архітектури прав підвищує ризики. Коли очікування прибутковості вступають у конфлікт із вимогами безпеки, остання часто відходить на другий план.
Проблеми з оракулами та механізмами ліквідації
Коли USR впав до $0,025, кредитні протоколи, які приймали USR як заставу (наприклад, Morpho), опинилися під загрозою. Якщо ці протоколи використовували офчейн-оракули або повільні джерела цін, користувачі могли брати кредити під заставу USR за ціною $1, хоча фактична вартість застави була майже нульовою, що призвело до утворення «поганих боргів».
Крах «міфу про аудит»
Проєкт хвалився 14 аудитами. Це нагадує ринку: кількість аудитів не дорівнює рівню безпеки. Індустрія потребує прозорої системи оцінки ризиків, яка включає комплексний аналіз управління протоколом, контролю прав і моніторингу руху коштів.
Сценарний аналіз: можливі майбутні варіанти
Виходячи з поточної ситуації, можна спрогнозувати декілька сценаріїв розвитку подій.
| Тип сценарію | Опис | Ключові чинники |
|---|---|---|
| Оптимістичний | Проєкту вдається частково повернути кошти й запустити компенсаційну програму. За участі компаній із безпеки відстежуються ончейн-активи, частину ETH можуть позначити й заморозити. Команда використовує залишкову заставу для пропорційної компенсації постраждалих. Протокол проходить повну модернізацію, впроваджуються мультипідпис і timelock. | Швидкість втручання правоохоронців, чи будуть активи виведені у сервіси анонімізації |
| Базовий | Проєкт завершує внутрішнє розслідування, оголошує план повернення активів (наприклад, випуск нових токенів), але компенсація обмежена. Після перезапуску довіра користувачів залишається низькою, а загальна заблокована вартість не зростає. Регулятори посилюють нагляд за стейблкоїнами з дохідністю. | Фінансова стійкість проєкту, здатність відновити довіру спільноти |
| Песимістичний | Повернення коштів не відбувається, компенсаційний план не знаходить підтримки, команда розпадається. USR знецінюється до нуля, що спричиняє проблеми для кредитних протоколів, які використовували USR як заставу, лавиноподібні ліквідації та мільйони доларів «поганих боргів». Це ще більше підірве довіру до DeFi-деривативів. | Чи мають кредитні протоколи достатньо страхових фондів для покриття збитків |
Висновки
Інцидент із Resolv USR — це серйозний урок щодо мінімальних стандартів безпеки в DeFi. Він чітко демонструє: у світі децентралізованих фінансів «привілей» дорівнює «ризику». Якщо доля протоколу залежить від одного приватного ключа, жодна складна економічна модель чи численні аудити не захистять від катастрофи у разі його компрометації.
Для звичайних користувачів усвідомлення таких ризиків надзвичайно важливе. Перед участю у будь-якому DeFi-протоколі — особливо у стейблкоїн-проєктах — слід звертати увагу на кілька ключових факторів: чи використовує протокол мультипідпис для управління основними правами? Чи впроваджено моніторинг у реальному часі та механізми аварійної зупинки? Чи керуються права управління через timelock? Безпека має бути не лише обіцянкою у whitepaper, а й відображатися у кожному налаштуванні прав у коді.
Прагнучи зростання активів, не забувайте підвищувати власну обізнаність про ризики. Уникайте сліпого гонитви за високою дохідністю на шкоду безпеці протоколу. Ми й надалі відстежуватимемо подібні інциденти, надаючи глибокий галузевий аналіз і попередження про ризики, щоб сприяти формуванню більш стійкого середовища для торгівлі криптоактивами.
