Злом протоколу Resolv: Руйнівний несанкціонований випуск на $80 млн виявляє критичну вразливість приватного ключа

BitcoinWorld

Злом Resolv Protocol: руйнівний несанкціонований випуск на $80 млн розкриває критичну вразливість приватного ключа

У значному інциденті кібербезпеки, який сколихнув сектор децентралізованих фінансів (DeFi), Resolv Protocol підтвердив серйозне порушення інфраструктури 21 березня 2025 року, що призвело до несанкціонованого створення стейблкоїна USR на суму $80 млн. Оператор Resolv Digital Assets оголосив через платформу соціальних мереж X, що хакер використав викрадений приватний ключ для здійснення масового випуску. Ця подія негайно викликала аварійні дії протоколу, призупинення смартконтрактів та спалення токенів для зменшення фінансових збитків. Отже, порушення підкреслює постійні проблеми безпеки в інфраструктурі цифрових активів та піднімає термінові питання щодо управління приватними ключами. Швидка реакція команди, однак, стримала негайні наслідки, а підтверджені збитки наразі оцінюються як частка від первинно випущеної суми.

Злом Resolv Protocol: анатомія порушення на $80 млн

Суть інциденту Resolv Protocol полягає в компрометації привілейованого приватного ключа. Зловмисники використовували цей ключ для отримання несанкціонованого доступу до функції випуску протоколу. Згодом вони створили приблизно 80 млн токенів USR, стейблкоїна, прив'язаного до долара США. Команда протоколу швидко виявила аномальну активність випуску. Потім вони виконали аварійну паузу відповідного смартконтракта. Ця дія фактично заморозила подальші можливості випуску та переказу. Важливо, що порушення не було пов'язане з недоліком коду самого смартконтракта. Натомість воно сталося внаслідок компрометації офчейн інфраструктури, що контролює адміністративні привілеї. Подія підкреслює критичний вектор атаки в DeFi: безпеку адміністративних ключів та налаштувань мультипідпису.

Після початкового випуску команда протоколу розпочала контрзахід. Вони виконали транзакцію спалення, знищивши приблизно 9 млн шахрайськи створених токенів USR, що зберігалися в гаманці зловмисника. Цей проактивний крок мав на меті зменшити потенційний тиск продажу та ризик маніпулювання ринком. Resolv Protocol наразі повідомляє про загальні активи під управлінням близько $141 млн. Тому фактичні підтверджені фінансові збитки оцінюються в $500 000, що стосується активів, переміщених до призупинення контракту. Команда порадила всім користувачам утриматися від торгівлі USR та пов'язаними токенами пулів ліквідності, поки тривають заходи відновлення та розслідування.

Розуміння стейблкоїна USR та його механізму

USR, або незабезпечений стейблкоїн від Resolv, працює інакше, ніж традиційні забезпечені стейблкоїни, такі як USDC або DAI. Зазвичай він покладається на комбінацію алгоритмічних механізмів та ліквідності, що належить протоколу, для підтримки своєї прив'язки. Несанкціонований випуск такої великої пропозиції безпосередньо загрожує стабільності цієї прив'язки. Раптовий приплив токенів без відповідних активів може призвести до девальвації. Отже, аварійні дії протоколу були вирішальними для запобігання сценарію банківської паніки. Історично подібні інциденти в інших проектах алгоритмічних стейблкоїнів призводили до катастрофічних подій втрати прив'язки. Негайна пауза контракту команди Resolv та публічне попередження є стандартними процедурами антикризового управління в таких випадках.

Ключові характеристики стейблкоїна USR включають:

• Алгоритмічні корективи пропозиції для підтримки цінового паритету.
• Інтеграція в ширший Resolv Protocol для кредитування та запозичення.
• Залежність від казначейських активів протоколу для забезпечення.

Таблиця нижче порівнює масштаб інциденту з іншими помітними експлойтами DeFi останніх років:

Експертний аналіз безпеки приватних ключів

Експерти з безпеки постійно визначають управління приватними ключами як первинну проблему. Єдина точка відмови, як-от викрадений ключ, може скомпрометувати весь протокол. Тому кращі галузеві практики вимагають використання гаманців з мультипідписом та апаратних модулів безпеки (HSM). Ці заходи розподіляють контроль та вимагають консенсусу для чутливих дій. Крім того, регулярна ротація ключів та суворий контроль доступу є необхідними. Інцидент Resolv, ймовірно, спровокує аудити процедур управління ключами в ландшафті DeFi. Він слугує суворим нагадуванням про те, що незмінність блокчейну застосовується до транзакцій, як легітимних, так і шахрайських.

Негайна реакція та заходи контролю збитків

Часова шкала реакції протоколу є прикладом антикризового управління. Після виявлення порушення першою дією команди було публічне повідомлення. Вони використовували офіційні канали для попередження спільноти про підозрілу активність. Далі вони технічно ізолювали загрозу, призупинивши смартконтракт. Цей крок є аналогічним заморожуванню рахунку банком після виявлення шахрайства. Згодом вони виконали спалення токенів, щоб зменшити важіль зловмисника. Нарешті, вони ініціювали повний аудит безпеки та почали відстежувати викрадені кошти ончейн. Ці кроки узгоджуються зі встановленими схемами реагування на інциденти, які використовують великі фірми з безпеки блокчейну.

Відносно низькі підтверджені збитки в $500 000 порівняно з випуском $80 млн свідчать про те, що зловмисник мав обмежений час для ліквідації. Це вказує на наявність ефективного моніторингу та швидких систем реагування. Однак той факт, що випуск відбувся взагалі, вказує на попередню помилку безпеки. Розслідування зосередиться на тому, як приватний ключ був викрадений. Потенційні вектори включають фішингові атаки на членів команди, скомпрометоване хмарне сховище або внутрішні загрози. Вирішення цього інциденту значною мірою залежатиме від прозорості команди в найближчі дні та їхнього запропонованого плану компенсації для постраждалих користувачів.

Ширший вплив на екосистему DeFi та стейблкоїнів

Це порушення відбувається в період посиленого регуляторного контролю щодо стейблкоїнів у всьому світі. Інциденти такого типу надають боєприпаси регуляторам, які виступають за суворіший нагляд. Вони стверджують, що децентралізовані системи не мають захисту споживачів традиційних фінансів. І навпаки, прихильники підкреслюють прозору та швидку реакцію, можливу на публічних блокчейнах. Подія може тимчасово знизити довіру користувачів до алгоритмічних та менш відомих стейблкоїнів. Отже, трейдери можуть перейти до більш встановлених, перевірених та регульованих альтернатив. Це може прискорити тенденцію інституційного прийняття відповідних емітентів стейблкоїнів.

Крім того, злом підкреслює важливість страхових протоколів та децентралізованого управління. Протоколи з ончейн управлінням казначейством та децентралізованими механізмами аварійного реагування можуть продемонструвати стійкість. Майбутнє безпеки DeFi, ймовірно, включатиме більш складні інструменти моніторингу в режимі реального часу та автоматизовані запобіжники. Ці системи можуть виявляти аномальні транзакції та ініціювати паузи до втручання людини. Подія Resolv Protocol буде широко проаналізована дослідниками безпеки для вдосконалення цих оборонних технологій.

Висновок

Злом Resolv Protocol із несанкціонованим випуском стейблкоїна USR на суму $80 млн є критичним уроком у безпеці криптовалютної інфраструктури. Хоча швидка аварійна реакція стримала більшість фінансових збитків, основна причина — скомпрометований приватний ключ — розкриває фундаментальну вразливість. Цей інцидент підкріплює необхідність надійних багаторівневих практик безпеки понад аудити смартконтрактів. Для ширшої екосистеми DeFi це слугує нагадуванням про те, що технологічні інновації мають супроводжуватися не менш передовою операційною безпекою. Поточні заходи відновлення та наступний судово-медичний звіт будуть вирішальними для відновлення довіри користувачів та інформування майбутніх дизайнів протоколів.

Часті запитання

Q1: Що саме було зламано в інциденті Resolv Protocol?
Порушення було компрометацією інфраструктури, а не помилкою смартконтракта. Хакер отримав приватний ключ з правом випуску, що дозволило йому створити 80 млн токенів USR без забезпечення.

Q2: Скільки грошей було фактично втрачено?
Хоча USR на суму $80 млн було випущено, підтверджені фінансові збитки наразі оцінюються в $500 000. Це становить активи, які зловмиснику вдалося переказати або обміняти до призупинення контракту та спалення токенів.

Q3: Що мають робити власники USR або пов'язаних токенів зараз?
Команда Resolv Protocol порадила всім користувачам утриматися від торгівлі USR та пов'язаними токенами пулів ліквідності до подальшого повідомлення. Це запобігає взаємодії з потенційно скомпрометованими пулами та дозволяє продовжити заходи відновлення.

Q4: Як це впливає на цінову стабільність стейблкоїна USR?
Несанкціонований випуск масивної пропозиції створює значний тиск продажу, загрожуючи прив'язці. Аварійні дії протоколу — призупинення контракту та спалення токенів — є прямими заходами для захисту прив'язки та запобігання девальвації.

Q5: Які поширені способи викрадення приватного ключа?
Поширені вектори включають фішингові атаки на членів команди, зловмисне програмне забезпечення на машинах розробників, небезпечне зберігання ключового матеріалу (наприклад, у відкритому тексті на сервері), соціальну інженерію або компрометації сторонніх платформ, що використовуються для управління ключами.

Ця публікація Злом Resolv Protocol: руйнівний несанкціонований випуск на $80 млн розкриває критичну вразливість приватного ключа вперше з'явилася на BitcoinWorld.