Una falla de seguridad en Resolv Labs permitió a un atacante acuñar más de 80 millones de dólares en stablecoins USR sin respaldo. Esto provocó que el token perdiera violentamente su paridad con el dólar y se desplomara hasta 0.25 dólares.
Según los analistas de seguridad blockchain de Cyvers, este exploit ocurrió debido a una falla en la lógica de acuñación. Los contratos fueron auditados, pero aun así el problema permitió la acuñación no autorizada sin la validación adecuada.
El exploit se produjo después de un periodo de grandes y misteriosas salidas de capital del protocolo. Los datos de BeInCrypto muestran que la capitalización total de USR cayó de aproximadamente 400 millones de dólares a principios de febrero, a solo 100 millones de dólares semanas antes del ataque.
Resolv pausa el protocolo tras caída de la stablecoin USR hasta los 0.25 dólares
Esta rápida contracción del 75% en la liquidez genera preguntas críticas sobre si personas internas o grandes inversores estaban deshaciendo silenciosamente sus posiciones antes del colapso.
Según datos on-chain, el atacante utilizó una cantidad inicial de 100,000 dólares en USD Coin (USDC) para aprovechar la vulnerabilidad.
La firma de seguridad blockchain PeckShield estima el monto total de USR generado artificialmente en 80 millones de dólares. Según la firma, el ataque se ejecutó con una acuñación inicial de 50 millones de dólares y una segunda de 30 millones de dólares.
El hacker vendió de inmediato los tokens sin respaldo en pools de liquidez de exchanges descentralizados, logrando extraer más de 24 millones de dólares en Ethereum.
A pesar del grave impacto en el mercado, Resolv Labs afirmó que su fondo de garantía “permanece completamente intacto” y que no perdió activos subyacentes. La empresa aseguró que su prioridad inmediata es proteger a los usuarios legítimos del impacto.
Este mensaje empresarial contrasta drásticamente con la realidad del mercado, ya que los inversores minoristas que tienen USR están sufriendo grandes pérdidas tras la caída del 74%. Resolv ha suspendido indefinidamente todas las funciones del protocolo.
Investigadores de seguridad sugirieron que el incidente se debe a una grave negligencia arquitectónica, y no a sofisticados ataques criptográficos.
“Aquí es donde el riesgo de las stablecoins se vuelve real. Las auditorías por sí solas no son suficientes; si no estás monitoreando en tiempo real la acuñación y el suministro, estás ciego cuando más importa. Todas las interacciones con el protocolo deben ser monitoreadas continuamente, y cualquier anomalía en la acuñación, el precio o la liquidez debe detenerse antes de que se propague. Esa es la única forma de contener eventos como este antes de que se expandan”, dijo el CEO y cofundador de Cyvers, Deddy Lavid, a BeInCrypto.
El analista de blockchain Andrew Hong informó que una Dirección Externamente Controlada (EOA) básica tenía un “rol de servicio” crítico dentro del protocolo.
En vez de usar un contrato multisig seguro, el protocolo permitió que una sola clave privada asegurara este monedero estándar de criptomonedas.
Aumentando la preocupación, la plataforma DeFi YieldsAndMore señaló que este rol administrativo específico no tenía medidas de seguridad básicas, como límites máximos de acuñación y revisiones con oráculos de precio.
Como resultado, los analistas sugieren que el incidente apunta fuertemente a una clave privada comprometida o a una posible acción de un insider.
