Стабильная монета USR, выпущенная проектом Resolv Labs, потеряла привякзу к доллару США после того, как злоумышленник смог эксплуатировать уязвимость в смарт-контракте токена и создать для себя миллионы необеспеченных монет. Команда проекта сообщила в социальной сети X в воскресенье, что в результате эксплуатации уязвимости атакующий смог отчеканить 50 миллионов токенов USR, не имеющих реального обеспечения.
Криптофонд D2 Finance уточнил, что атакующий смог отчеканить 50 миллионов USR, внеся всего $100 000 в стейблкоине USDC. По данным компании по безопасности PeckShield, злоумышленник также отчеканил дополнительные 30 миллионов токенов USR, что в сумме может составлять около $80 миллионов. Эксперты D2 Finance предположили, что функция чеканки в контракте USR была некорректно реализована: «Либо была скомпрометирована работа оракула, либо был взломан офф-чейн подписант, либо отсутствовала валидация суммы между запросом и завершением операции».
После чеканки атакующий начал активно выводить средства. Он переместил 50 миллионов USR в несколько криптопротоколов, обменял токены на стейблкоины USDC и USDT, а затем «агрессивно» конвертировал их в эфир (ETH). «Сценарий вывода средств злоумышленника — это классический кейс обналичивания после взлома в DeFi, работающий на полной скорости», — отметили в D2 Finance.
В результате атаки цена USR резко обвалилась. На некоторых сделках токен продавался всего по 50 центов по мере ухудшения ликвидности и роста проскальзывания. По данным DEX Screener, на пуле USR/USDC в протоколе Curve Finance, наиболее ликвидном пуле USR с суточным объёмом $3,6 млн, цена токена временно упала до минимума в 2,5 цента. Это произошло в 02:38 UTC, всего через 17 минут после чеканки злоумышленником $50 млн в токенах. К настоящему моменту цена в этом пуле восстановилась до уровня 84,5 цента.
По оценкам D2 Finance, в результате атаки злоумышленнику удалось извлечь около $25 миллионов. В ответ на инцидент команда Resolv Labs приостановила все функции протокола, чтобы предотвратить дальнейшие malicious действия, и работает над восстановлением. На момент публикации, согласно данным CoinGecko, USR торгуется на уровне около 87 центов, что примерно на 13% ниже целевого уровня привязки в $1.
Представитель протокола Aave заявил, что их платформа не имеет экспозиции к USR от Resolv Labs, несмотря на процесс депеггинга. Этот инцидент произошёл на фоне общего снижения количества хакерских атак в феврале, когда потери от эксплуатации уязвимостей составили $49 млн против $385 млн в январе.
