Устраните убытки от эксплойта Resolv Caps в размере $34 миллионов с помощью обновления контракта, чтобы уничтожить токены хакера

Resolv Labs 6 апреля 2026 года выполнила ончейн-апгрейд контракта, чтобы навсегда сжечь 36,73 млн токенов wstUSR и stUSR, которые находились под контролем атакующего, ограничив оценочные чистые потери протокола от эксплойта от 22 марта примерно до $34 млн.

Атакующий использовал скомпрометированный приватный ключ, размещённый в AWS, чтобы чеканить 80 млн непокрытых токенов USR всего при $100 000–$200 000 залога, обменяв 34 млн USR на 11 409 ETH (стоимостью около $24,5 млн) до того, как ликвидность была исчерпана, а оставшиеся токены были сожжены в ходе апгрейда протокола.

Resolv использует апгрейд контракта, чтобы уничтожить токены хакера

Транзакция апгрейда, подтверждённая ончейн, сначала развернула stUSR в USR, а затем отправила оба токена на нулевой адрес, сделав токены недоступными для любого, включая самого хакера. Ранее Resolv приостанавливала работу протокола и предлагала 10% награду за «white hat» (этичный взлом), но хакер не проявил интереса к мирному урегулированию, побудив команду воспользоваться своими полномочиями на апгрейд, чтобы уничтожить оставшиеся токены.

Эксплойт произошёл 22 марта 2026 года, когда атакующий использовал один скомпрометированный приватный ключ, контролирующий SERVICE_ROLE, чтобы одобрить два крупных минта. Протокол выпустил 80 млн непокрытых токенов USR, хотя атакующий внес в качестве залога только $100 000–$200 000 в USDC. Хакер быстро обменял 34 млн USR на 11 409 ETH — примерно $24,5 млн на тот момент — прежде чем ликвидность была потрачена. Оставшиеся токены бездействовали в кошельках злоумышленника, в основном обёрнутые в wstUSR.

Депег, возникший в результате действий хакера, привёл к падению USR до значения вплоть до $0,025 на Curve. Апгрейд контракта Resolv в прошлом критиковали как риск централизации — аналогично рычагам, которые рассматривали другие проекты, такие как Flow, — но этот манёвр успешно ограничил суммарные оценочные потери протокола примерно $34 млн.

DeFi-протоколы страдают от «зоны поражения» из-за эксплойта Resolv

DeFi-протоколы, имевшие экспозицию к вкладам/хранилищам (vaults) Resolv, попали в зону поражения. Vault’ы Morpho поглотили миллионы долларов в виде плохой задолженности, что спровоцировало масштабные оттоки. Trading Strategy, платформа аналитики по DeFi, отметила, что многие vault’ы стали неликвидными в результате компрометации приватного ключа Resolv: залог стал ничего не стоить за одну ночь. Некоторые vault’ы Morpho вдруг показали высокие доходности, но эти vault’ы были неликвидными, и вкладчики вряд ли смогут вывести средства.

Хорошие кураторы предотвратили новые депозиты, установив максимальные депозиты равными нулю, но стандарт vault’а не предусматривает отдельного флага для «сломанных» vault’ов — только «максимальная вместимость достигнута». Trading Strategy вручную заносит проблемные vault’ы в чёрный список, но этот процесс занимает время.

Более широкий паттерн крупных взломов DeFi продолжается с Drift и Balancer

Эксплойт Resolv добавляет к мрачному шаблону крупномасштабных взломов DeFi. Всего за несколько недель до Resolv Balancer Labs — прибыльная организация, стоящая за пионерским автоматизированным маркет-мейкером, — объявила о прекращении работы после потери $128 млн в атаке в ноябре 2025 года. Генеральный директор Balancer сослался на продолжающиеся юридические последствия и финансовый ущерб от взлома, который выкачал ликвидность из пулов через манипулирование взаимодействиями с vault’ами. DAO Balancer и сам протокол остаются в живых, но ключевая компания-разработчик фактически завершила деятельность.

Апрель 2026 года начался с того, что Drift Protocol сообщила о потере $285 млн 1 апреля — это связывают с хакерами, спонсируемыми государством Северной Кореей. Для Resolv представление итоговой цифры потерь в $34 млн даёт чёткую базовую линию для восстановления — протокол получает время, которым Balancer не располагал. Операции остаются приостановленными.

FAQ

Как произошёл эксплойт Resolv?

Атакующий скомпрометировал один приватный ключ, размещённый в AWS, который контролирует SERVICE_ROLE, что позволило ему чеканить 80 млн непокрытых токенов USR при наличии лишь $100 000–$200 000 залога. Он обменял 34 млн USR на 11 409 ETH (≈$24,5 млн) до того, как ликвидность была исчерпана. Затем Resolv сожгла оставшиеся 36,73 млн токенов через апгрейд контракта.

Какова финальная оценочная потеря для Resolv?

Чистые потери Resolv составляют примерно $34 млн. Атакующий извлёк около $24,5 млн в ETH, а апгрейд протокола предотвратил дальнейшие потери, уничтожив оставшиеся токены, находившиеся у хакера.

Какие ещё DeFi-протоколы пострадали от недавних взломов?

Balancer Labs закрылась после взлома на $128 млн в ноябре 2025 года, а Drift Protocol понёс(ла) ущерб в результате эксплойта на $285 млн 1 апреля 2026 года. Vault’ы Morpho также поглотили плохую задолженность, возникшую из-за инцидента Resolv, став неликвидными и вызвав масштабные оттоки.