Виправляє збитки від експлойту Resolv Caps на $34 мільйони оновленням контракту, щоб знищити токени хакера

Resolv Labs виконала ончейн-оновлення контракту 6 квітня 2026 року, щоб назавжди спалити 36,73 мільйона токенів wstUSR і stUSR, які перебували під контролем атакувальника, обмеживши оцінені чисті втрати протоколу від експлойту від 22 березня приблизно до $34 мільйонів.

Атакувальник використав скомпрометований приватний ключ, розміщений на AWS, щоб карбувати 80 мільйонів незабезпечених токенів USR лише з $100 000–$200 000 застави, обмінявши 34 мільйони USR на 11 409 ETH (вартістю близько $24,5 мільйона) до того, як ліквідність була вичерпана, тоді як решту токенів було спалено під час оновлення протоколу.

Resolv використовує оновлення контракту, щоб знищити токени хакера

Транзакцію оновлення, підтверджену в мережі, спершу підтвердили як таку, що розгорнула stUSR у USR, перш ніж відправити обидва токени на нульову адресу, унеможлививши їх відновлення ким-небудь, зокрема й самим хакером. Раніше Resolv призупинив роботу протоколу та запропонував винагороду у розмірі 10% за «white-hat», але хакер не проявив інтересу до мирного врегулювання, тож команда скористалася своїми повноваженнями на оновлення, щоб знищити решту токенів.

Експлойт стався 22 березня 2026 року, коли атакувальник використав один скомпрометований приватний ключ, що контролював SERVICE_ROLE, щоб схвалити два великі карбування. Протокол видав 80 мільйонів незабезпечених токенів USR, попри те, що атакувальник вніс лише $100 000–$200 000 у USDC як заставу. Хакер швидко обміняв 34 мільйони USR на 11 409 ETH — приблизно $24,5 мільйона на той момент — перш ніж була витрачена ліквідність. Решта токенів залишилися бездіяльними в гаманцях експлойтера, здебільшого загорнутими у wstUSR.

Депег, що виник внаслідок дій хакера, спричинив падіння USR до рівня аж $0,025 на Curve. Оновлення контракту Resolv у минулому критикували як ризик централізації, подібний до важелів, які розглядали інші проєкти, зокрема Flow, але маневр успішно обмежив загальні оцінені втрати протоколу приблизно до $34 мільйонів.

DeFi-протоколи зазнають «ударної хвилі» від експлойту Resolv

DeFi-протоколи, які мали експозицію до сховищ Resolv, потрапили в зону ураження. Сховища Morpho поглинули мільйони поганих боргів, що спричинило масові відпливи. Trading Strategy — платформа аналітики DeFi — зазначила, що багато сховищ стали неліквідними в результаті компрометації приватного ключа Resolv, а застава за одну ніч стала нічого не вартою. Деякі сховища Morpho раптом показали високі прибутковості, але ці сховища були неліквідними, і вкладникам навряд чи вдасться вивести кошти.

Сумлінні куратори запобігли новим депозитам, встановивши максимальні депозити на нуль, але стандарт сховищ не має окремого прапорця для «зламаних» сховищ — лише «досягнуто максимальної місткості». Trading Strategy вручну вносить проблемні сховища до чорного списку, але цей процес займає час.

Загальніший патерн великих хаків DeFi продовжується з Drift і Balancer

Експлойт Resolv додає до похмурого патерну масштабних хаків DeFi. Всього за кілька тижнів до Resolv Balancer Labs — комерційна компанія, що стоїть за піонерським автоматизованим маркет-мейкером — оголосила, що закривається після втрати $128 мільйонів у нападі в листопаді 2025 року. CEO Balancer навів незавершені юридичні наслідки та фінансові втрати від хаку, який «висмоктав» ліквідність із пулив через маніпульовані взаємодії зі сховищами. Balancer DAO і протокол залишаються живими, але базова компанія-розробник фактично завершила діяльність.

Квітень 2026 року почався з того, що Drift Protocol повідомив про втрату $285 мільйонів 1 квітня, пов’язану з хакерами, що фінансуються державою Північної Кореї. Для Resolv надання остаточної цифри втрат у $34 мільйони забезпечує чітку основу для відновлення — воно дає протоколу час, якого Balancer не мав. Роботу операцій лишають призупиненою.

FAQ

Як стався експлойт Resolv?

Атакувальник скомпрометував один приватний ключ, розміщений на AWS, який контролював SERVICE_ROLE, що дозволило йому карбувати 80 мільйонів незабезпечених токенів USR лише з $100 000–$200 000 застави. Він обміняв 34 мільйони USR на 11 409 ETH (≈$24,5 мільйона) до того, як була вичерпана ліквідність. Пізніше Resolv спалив решту 36,73 мільйона токенів через оновлення контракту.

Які остаточні оцінені втрати для Resolv?

Чисті втрати Resolv — приблизно $34 мільйони. Атакувальник вилучив близько $24,5 мільйона в ETH, а оновлення протоколу запобігло подальшим втратам, знищивши решту токенів, що були в руках хакера.

Які інші DeFi-протоколи постраждали від недавніх хаків?

Balancer Labs закрилася після хаку на $128 мільйонів у листопаді 2025 року, а Drift Protocol зазнав експлойту на $285 мільйонів 1 квітня 2026 року. Сховища Morpho також поглинули проблемну заборгованість від інциденту Resolv, стали неліквідними та спричинили масові відпливи.