Resolv’un USR stablecoin basım sistemindeki büyük bir güvenlik açığı, Resolv saldırısını tetikleyerek, birbirine bağlı birkaç DeFi platformunda ciddi piyasa bozulmalarına yol açtı.
Summary
USR stablecoin açığı nasıl ortaya çıktı
Pazar günü, sofistike bir saldırgan Resolv‘un USR ihraç altyapısını hedef aldı ve yaklaşık 80 milyon teminatsız token üretti, sonuçta protokolden yaklaşık $25 milyon değerinde Ether (ETH) çekildi. Bu açık, bir stablecoin‘in basım mantığındaki tek bir zayıflığın daha geniş bir piyasa krizine nasıl yol açabileceğini vurguladı.
Kötü niyetli faaliyet, 2:21 a.m. UTC civarında, saldırganın Resolv’un USR Counter sözleşmesine 100,000 USDC yatırmasıyla başladı. Karşılığında, saldırgan anormal bir şekilde 50 milyon USR aldı — bu, meşru miktarın yaklaşık 500 katı idi. Sonraki bir işlemle 30 milyon daha token üretildi. Bu eylemler birlikte, USR’nin arzını herhangi bir karşılık gelen teminat olmadan şişirdi.
Yetkisiz basımın ardından, saldırgan sahte USR’yi birçok merkeziyetsiz borsa üzerinden sistematik olarak USDC ve USDT ile takas etti. Ayrıca, elde edilen gelirleri ETH olarak konsolide etti. Zincir üstü verilere göre, saldırganın cüzdanı şu anda yaklaşık $23.7 milyon piyasa fiyatıyla değerlenen 11,409 ETH tutuyor.
Curve’de sert depeg ve USR sahipleri için ağır kayıplar
$1 fiyat sabitini korumak için tasarlanan USR, neredeyse anında bir çöküş yaşadı. İlk anormal basımdan sadece 17 dakika sonra, token Curve Finance üzerinde $0.025‘e düştü. Ancak, fiyat kısa sürede kısmi bir toparlanma göstererek yaklaşık $0.85‘e yükseldi, ancak Pazar sabahı boyunca derin bir şekilde depeg olmuş durumda kaldı.
Resolv Labs, X üzerinde tüm protokol operasyonlarını askıya aldığını duyurdu. Ekip, teminat havuzunun “tamamen sağlam kaldığını” ve “hiçbir temel varlığın” tehlikeye atılmadığını vurguladı, sorunu “USR ihraç mekaniklerine izole edilmiş” olarak çerçeveledi. Bununla birlikte, piyasa tepkisi, kullanıcıların pek de rahatlamadığını gösterdi.
Blockchain analistleri hızla mevcut USR sahiplerinin zararın yükünü taşıdığını belirtti. Aniden gelen 80 milyon yeni token, dolaşımdaki arzı büyük ölçüde seyreltti. Ayrıca, saldırganın agresif satışları mevcut havuzlardan likiditeyi çekti. Olay sırasında USR tutan herhangi bir yatırımcı, anında ve önemli portföy kayıplarıyla karşılaştı.
Protokol ayrıcalıklı hesap ihlali ve basım güvenlik önlemleri
Güvenlik araştırmacıları, açığı kritik erişim kontrollerine kadar izledi. Blockchain güvenlik analisti Andrew Hong, ihlalin kaynağını SERVICE_ROLE olarak adlandırılan ayrıcalıklı bir hesapta belirledi. Bu son derece hassas rolün, daha güvenli bir çoklu imza cüzdan yapısı yerine, tek bir dışa ait hesap tarafından yönetildiği iddia edildi.
USR basım sözleşmesinin, sağlam oracle doğrulaması, uygun miktar doğrulaması ve maksimum basım sınırları gibi anahtar korumalardan yoksun olduğu bildirildi. Ancak, bu tasarım zayıflığı, ayrıcalıklı kimlik bilgileri ifşası gibi daha derin bir operasyonel başarısızlıkla etkileşime girmiş olabilir. Olay, yönetim rollerinin düzgün bir şekilde güçlendirilmezse tek bir başarısızlık noktası haline gelebileceğini vurguladı.
Daha önce Temmuz 2025‘te Resolv’un staking modülünü denetleyen güvenlik firması Pashov, Cointelegraph‘a, temel nedenin çekirdek mimari tasarımda bir kusur yerine özel anahtar ihlali gibi göründüğünü söyledi. Bununla birlikte, firma, iyi denetlenmiş protokollerin bile anahtar yönetimi ve operasyonel güvenlik uygulamaları sıkı değilse savunmasız kalabileceğini vurguladı.
Deddy Lavid, Cyvers CEO’su, denetimlerin tek başına tam güvenlik sağlayamayacağı konusunda uyardı. “Denetimler tek başına yeterli değil. Basım ve arzı gerçek zamanlı izlemiyorsanız, en önemli anlarda körsünüz,” dedi ve ayrıcalıklı eylemlerin sürekli, otomatik izlenmesi gereğini vurguladı.
Kapsamlı denetimler, hata ödülleri ve gerçek zamanlı izleme boşlukları
Resolv’un resmi belgeleri, beş ayrı güvenlik firması tarafından yürütülen 14 denetim katılımını listeliyor. Proje ayrıca Immunefi üzerinde $500,000 hata ödül programını ve devam eden akıllı sözleşme gözetim sistemlerini tanıtıyor. Ancak, başarılı saldırı, kapsamlı güvenlik yatırımlarının bile tek bir operasyonel aksaklıkla bozulabileceğini gösteriyor.
Sektör gözlemcileri, kaybın ölçeğinin daha geniş eğilimlerle uyumlu olduğunu belirtti. Son Immunefi raporu, ortalama bir kripto para saldırısının artık yaklaşık $25 milyon zarara neden olduğunu buldu. Ayrıca, 2024–2025 yılları arasındaki en büyük beş açık, sektörde çalınan toplam değerin %62‘sini oluşturdu ve riskin sürekli bir şekilde yoğunlaştığını vurguladı.
Bu bağlamda, Resolv saldırısı, ön dağıtım denetimlerinin ve hata ödüllerinin sınırlarını gösteren bir vaka çalışması olarak hizmet ediyor. Sürekli zincir üstü gözetim, güçlendirilmiş anahtar yönetimi ve ayrıcalıklı roller üzerinde sıkı kontroller, benzer olayları önlemek için giderek daha gerekli görünüyor.
DeFi bulaşma etkileri ve platform düzeyinde tepkiler
Açık, daha geniş DeFi ekosistemine hızla yayıldı. Birçok platform, USR ve ilgili varlıklara maruz kalmalarını değerlendirmek ve azaltmak için harekete geçti. Ayrıca, kullanıcı paniğini sınırlamak ve daha fazla sistemik stresi önlemek için kamuya açık güncellemeler yayınladılar.
Lido, Lido Earn‘e yatırılan kullanıcı fonlarının güvende kaldığını ve olaydan doğrudan etkilenmediğini doğruladı. Aave kurucusu Stani Kulechov, kredi protokolünün doğrudan USR maruziyeti olmadığını belirtti. Ayrıca, Resolv’un mevcut borçları aktif olarak ödediğini, zincirleme etkileri sınırlamak için koordineli bir çaba gösterildiğini öne sürdü.
Kredi optimizasyon platformu Morpho‘da, kurucu ortak Merlin Egalite, yalnızca belirli kasaların USR maruziyeti olduğunu, tüm platformun değil, açıkladı. Ancak, bu hedeflenen riskler, belirli havuzlar ve likidite sağlayıcıları için hala zorluklar oluşturdu ve hızlı yönetim ve risk parametresi incelemelerini tetikledi.
Kaldıraçlı işlemler ve kredi piyasalarındaki stres
Hem USR hem de stake edilmiş türevi wstUSR, Morpho ve Gauntlet dahil olmak üzere birkaç protokolde teminat olarak onaylanmıştı. Piyasa analistleri, fırsatçı tüccarların USR’yi sıkıntılı fiyatlarla satın alıp ardından teminat olarak kullanarak, neredeyse tam $1 değerle USDC borçlandıklarını bildirdi.
Bu strateji, piyasa fiyatı ile teminat değeri arasında tehlikeli bir uyumsuzluk yarattı. Sonuç olarak, etkilenen kasalar stablecoin rezervlerini tüketirken, bu kredileri destekleyen teminatın gerçek değeri zaten çökmüştü. Bununla birlikte, bazı platformlardaki risk motorları ve oracle’lar, uzun vadeli hasarı hafifletmek için zamanla hala ayarlamalar yapabilir.
Resolv’un junior sigorta dilimi tokenı, RLP, ayrıca potansiyel sermaye zararlarıyla karşı karşıya kaldı. Stream Finance, yaklaşık 13.6 milyon RLP tutuyor ve bu da yaklaşık $17 milyon değerinde, mevduat tabanına ek kayıplar iletebilir. Ayrıca, Stream daha önce Kasım 2025‘te $93 milyon kayıp açıkladı, bu da kullanıcıları için bileşik risk endişelerini artırıyor.
Olayın hemen ardından, RESOLV yönetim tokenı yaklaşık %8.5 oranında bir düşüş yaşadı. Bu düşüş, hem protokolün ödeme gücüyle ilgili doğrudan endişeleri hem de platformun güvenlik mimarisi ve operasyonel dayanıklılığı hakkındaki daha geniş şüpheleri yansıttı.
Resolv USR basım hatasının daha geniş etkileri
USR stablecoin zafiyeti tarafından tetiklenen Resolv saldırısı, bir protokol ayrıcalıklı hesap ihlali ve yetersiz gerçek zamanlı izleme kombinasyonunun kapsamlı güvenlik hazırlıklarını nasıl zayıflatabileceğini gösteriyor. Ayrıca, büyük likidite merkezlerindeki depeg olaylarının, kredi, staking ve sigorta katmanları arasında hızla teminat zararlarına yol açabileceğini vurguluyor.
İleriye dönük olarak, stablecoin ihraççıları ve DeFi protokollerinin, anahtar yönetimi, teminat doğrulaması ve zincir üstü risk gözetimi konusunda yenilenen bir incelemeyle karşı karşıya kalmaları muhtemeldir. Özetle, Resolv olayı, basım ve ayrıcalıklı erişim etrafında sıkı kontroller olmadan, yoğun denetimden geçmiş sistemlerin bile felaketle sonuçlanabilecek şekilde başarısız olabileceği konusunda sektöre zor bir ders veriyor.
