Resolv Labs destruyó 36.73 millones de USR en stablecoins mantenidas por un atacante mediante una actualización de contrato el 6 de abril de 2026, tras un exploit de marzo en el que una clave comprometida permitió al atacante acuñar 80 millones de tokens de USR no respaldados con menos de $200,000 en colateral inicial y vender aproximadamente 34 millones de USR por 11,409 ETH (valorados en aproximadamente $24.5 millones).
El incidente ha dejado al protocolo enfrentando una pérdida neta estimada de aproximadamente $34 millones, a pesar de que Resolv Labs afirma que su fondo de colateral sigue intacto.
El atacante explotó una clave de acuñación fuera de la cadena para imprimir USR no respaldados
El exploit se originó por una falla crítica en el flujo de acuñación de USR de Resolv. Un solo atacante, usando una clave de servicio comprometida en un proceso de acuñación fuera de la cadena de dos pasos, pudo generar 80 millones de tokens de USR no colateralizados. Luego, el atacante vendió aproximadamente 34 millones de USR a través de pools de liquidez de DeFi, extrayendo alrededor de 11,409 ETH (valorados en aproximadamente $24.5 millones). El USR restante que el atacante mantenía fue destruido posteriormente por Resolv Labs mediante una actualización de contrato, eliminando en total alrededor de 46 millones de USR de la dirección del atacante.
El incidente provocó que USR perdiera su paridad, desplomándose hasta $0.14 antes de rebotar parcialmente en el rango de $0.23–$0.27. Firmas de análisis on-chain estimaron que las ganancias del atacante estaban entre $23 millones y $25 millones a medida que el token perdía su paridad en Curve y otros pools de liquidez.
Resolv Labs utiliza una actualización de contrato para quemar las tenencias del hacker
Aproximadamente una hora antes del anuncio, Resolv Labs ejecutó una actualización de contrato que destruyó 36.73 millones de USR mantenidas por la dirección del atacante. El equipo ha eliminado un total de aproximadamente 46 millones de USR de la dirección del atacante mediante la actualización. Sin embargo, el valor ya extraído en ETH—aproximadamente 11,409 ETH (valorados en aproximadamente $24.48 millones)—permanece en la dirección 0x8ED…81C, dejando al protocolo enfrentando un golpe económico real de alrededor de $34 millones.
En su informe posterior al incidente, Resolv Labs subrayó que su fondo de colateral “permanece intacto” a pesar de la acuñación de 80 millones de USR impulsada por el exploit. Sin embargo, los proveedores de liquidez y los usuarios apalancados en protocolos integrados absorbieron el deslizamiento de precio y forzaron desajustes. El protocolo había pausado sus operaciones tras el exploit y puso en marcha un plan de recuperación.
Se destacan los riesgos de gestión de claves de DeFi por el exploit de USR
El exploit de USR se ha convertido en un caso de estudio sobre fallas en la gestión de claves de DeFi, generando comparaciones con otras fallas recientes de stablecoins y con la contagión en mercados de préstamos. Chainalysis describió el incidente como un caso en el que un atacante pudo acuñar decenas de millones de stablecoins no respaldadas y extraer aproximadamente $23 millones en valor, destacando cómo una clave de servicio comprometida en un proceso de acuñación fuera de la cadena puede desencadenar pérdidas sistémicas.
El episodio subraya cómo los controles privilegiados pueden tanto habilitar como mitigar fallas catastróficas en sistemas nominalmente descentralizados. Para traders e inversores, el incidente reaviva preguntas de larga data sobre si las stablecoins que generan rendimiento pueden escalar sin introducir puntos únicos de falla. Los protocolos de DeFi con stablecoins componibles ahora enfrentan una presión renovada para endurecer la lógica de acuñación, rotar claves y tratar la infraestructura del backend con el mismo rigor que los contratos inteligentes auditados.
FAQ
¿Cómo ocurrió el exploit de Resolv Labs?
El atacante comprometió una clave de servicio en el proceso de acuñación fuera de la cadena de dos pasos de Resolv, lo que les permitió acuñar 80 millones de tokens de USR no respaldados con menos de $200,000 en colateral inicial. Luego, el atacante vendió aproximadamente 34 millones de USR por 11,409 ETH (aproximadamente $24.5 millones) antes de que Resolv quemara las tenencias restantes mediante una actualización de contrato.
¿Cuál fue el impacto financiero del exploit?
El atacante extrajo aproximadamente 11,409 ETH con un valor de alrededor de $24.5 millones. Resolv Labs enfrenta una pérdida neta estimada de aproximadamente $34 millones, a pesar de quemar 36.73 millones de USR mantenidas por el atacante. La stablecoin USR perdió su paridad, cayendo hasta $0.14 antes de recuperarse parcialmente.
¿Qué medidas tomó Resolv Labs después del exploit?
Resolv Labs pausó operaciones, puso en marcha un plan de recuperación y utilizó una actualización de contrato para destruir 36.73 millones de USR mantenidas por el atacante. El equipo eliminó aproximadamente 46 millones de USR de la dirección del atacante. El protocolo indicó que su fondo de colateral permanece intacto a pesar del exploit.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
