تحترق شركة Resolv Labs مبلغ 36.7 مليون دولار في USR مخترق بعد استغلال بقيمة 34 مليون دولار

قامت Resolv Labs بتدمير 36.73 مليون من عملات USR المستقرة التي كان يحتفظ بها مهاجم، وذلك عبر ترقية للعقد في 6 أبريل 2026، عقب استغلال في مارس سمح بموجبه لمفتاح مخترق تمكين المهاجم من سك 80 مليون توكن USR غير مدعمة بعملة، وذلك باستخدام أقل من $200,000 كضمان ابتدائي، ثم قام بتصفية حوالي 34 مليون USR مقابل 11,409 ETH (بقيمة تقارب $24.5 مليون).

وقد خلّف هذا الحادث البروتوكول يواجه خسارة صافية مُقدّرة بنحو $34 مليون، رغم ادعاء Resolv Labs أن مجمع الضمانات لديها ما يزال سليمًا.

استغل المهاجم مفتاح سكّ يتم خارج السلسلة لطباعة USR غير مدعمة

نشأ الاستغلال عن فشل حاسم في مسار سكّ USR لدى Resolv. تمكن مهاجم واحد، مستخدمًا مفتاح خدمة مخترقًا في عملية سكّ خارج السلسلة من خطوتين، من توليد 80 مليون توكن USR غير مغطاة. ثم قام المهاجم بتصفية حوالي 34 مليون USR عبر مجمعات سيولة DeFi، مستخرجًا نحو 11,409 ETH (مقدّرة قيمته بحوالي $24.5 مليون). أما USR المتبقي الذي كان بحوزة المهاجم فقد دمرته لاحقًا Resolv Labs عبر ترقية للعقد، مما أدى إلى إزالة حوالي 46 مليون USR من عنوان المهاجم إجمالًا.

وقد تسبب الحادث في أن تفقد USR ربطها السعري، حيث هبطت إلى ما لا يقل عن $0.14 قبل أن ترتد جزئيًا إلى نطاق $0.23–$0.27. وقدّر محللو السلسلة أرباح المهاجم بين $23 مليون و$25 مليون بعد أن انفصل التوكن عن الربط على Curve وغيرها من مجمعات السيولة.

تستخدم Resolv Labs ترقية عقد لحرق ممتلكات القراصنة

قبل الإعلان بنحو ساعة، نفذت Resolv Labs ترقية لعقد دمرت 36.73 مليون USR كانت بحوزة عنوان المهاجم. قامت المجموعة بإزالة إجمالي حوالي 46 مليون USR من عنوان المهاجم عبر الترقية. ومع ذلك، فإن القيمة التي تم استخراجها بالفعل في ETH—وهي حوالي 11,409 ETH (بقيمة تقارب $24.48 مليون)—لا تزال على العنوان 0x8ED…81C، ما يترك البروتوكول يواجه خسارة اقتصادية حقيقية تقارب $34 مليون.

وفي تقرير ما بعد الحادث، شددت Resolv Labs على أن مجمع الضمانات لديها “ما يزال سليمًا” رغم سكّ 80 مليون USR مدفوعٍ بالاستغلال. ومع ذلك، استوعب مزوّدو السيولة والمستخدمون ذوو الرافعة عبر البروتوكولات المدمجة انزلاق السعر وأجبروا على عمليات فكّ الرافعة. كان البروتوكول قد أوقف العمليات عقب الاستغلال ونشر خطة تعافٍ.

المخاطر المرتبطة بإدارة مفاتيح DeFi التي أبرزها استغلال USR

أصبح استغلال USR حالة دراسية على فشل إدارة مفاتيح DeFi، مع مقارنات مع حالات فشل أخرى حديثة لعملات مستقرة وانتقال عدوى عبر أسواق الإقراض. وصفت Chainalysis الحادث بأنه مثال تمكن فيه مهاجم من سك عشرات الملايين من العملات المستقرة غير المدعومة واستخراج قيمة تقارب $23 مليون، موضحة كيف يمكن أن يؤدي اختراق مفتاح خدمة في عملية سكّ خارج السلسلة إلى تفاقم الخسائر على نطاق منظومي.

وتؤكد هذه الواقعة كيف يمكن للضوابط الممنوحة بصلاحيات عالية أن تُمكّن أيضًا من وقوع أعطال كارثية أو أن تخففها في أنظمة تبدو لا مركزية ظاهريًا. وبالنسبة للمتداولين والمستثمرين، يُعيد هذا الحادث طرح الأسئلة القديمة حول ما إذا كانت العملات المستقرة التي تُولّد عوائد يمكن أن تتوسع دون إدخال نقاط فشل فردية. تواجه بروتوكولات DeFi التي تستخدم عملات مستقرة قابلة للتأليف ضغطًا متجددًا لتعزيز منطق السكّ، وتدوير المفاتيح، ومعاملة البنية التحتية الخلفية بالصرامة نفسها المطبقة على العقود الذكية التي تم تدقيقها.

الأسئلة الشائعة

كيف حدث استغلال Resolv Labs؟

قام المهاجم باختراق مفتاح خدمة ضمن عملية سكّ خارج السلسلة من خطوتين لدى Resolv، مما أتاح له سك 80 مليون توكن USR غير مدعمة بضمان بعملة أقل من $200,000 كضمان ابتدائي. ثم قام المهاجم بتصفية حوالي 34 مليون USR مقابل 11,409 ETH (حوالي $24.5 مليون) قبل أن تقوم Resolv بحرق الحيازات المتبقية عبر ترقية عقد.

ما الأثر المالي للاستغلال؟

استخرج المهاجم حوالي 11,409 ETH بقيمة قدرها حوالي $24.5 مليون. تواجه Resolv Labs خسارة صافية مُقدّرة بنحو $34 مليون، رغم حرق 36.73 مليون USR كانت بحوزة المهاجم. وفقدت USR ربطها السعري، وهبطت إلى ما لا يقل عن $0.14 قبل أن تتعافى جزئيًا.

ما الإجراءات التي اتخذتها Resolv Labs بعد الاستغلال؟

أوقفت Resolv Labs العمليات، ونشرت خطة تعافٍ، واستخدمت ترقية لعقد لتدمير 36.73 مليون USR كانت بحوزة المهاجم. قامت المجموعة بإزالة حوالي 46 مليون USR من عنوان المهاجم. وذكر البروتوكول أن مجمع الضمانات لديها يظل سليمًا رغم الاستغلال.