En Resumen
- Un atacante explotó una clave privada comprometida de Resolv Labs para acuñar $80 millones en USR sin respaldo, extrayendo $25 millones en valor.
- La stablecoin USR perdió su paridad con el dólar y se desplomó 74%, mientras Resolv pausó el protocolo y quemó $9 millones para mitigar el daño.
- Chainalysis indicó que el hackeo fue posible porque el smart contract no imponía límite máximo de acuñación ni validación on-chain de autorizaciones.
La stablecoin USR de Resolv Labs perdió su paridad con el dólar estadounidense y se ha desplomado más de un 70% después de que un atacante explotara su contrato para acuñar 80 millones de tokens sin respaldo.
Según un tweet de la plataforma DeFi, el ataque aprovechó una "clave privada comprometida" para acuñar $80 millones en USR sin respaldo. Un análisis forense de la firma blockchain Chainalysis señaló que el atacante convirtió rápidamente el USR sin respaldo en una versión con staking, wstUSR, antes de cambiarlo por otras stablecoins y luego por Ethereum.
This notice is issued on behalf of Resolv Digital Assets Ltd. in relation to the Resolv protocol.
Earlier today, a malicious actor gained unauthorized access to Resolv infrastructure through compromised private key, resulting in the minting of approximately $80M of…
— Resolv Labs (@ResolvLabs) March 22, 2026
En total, los atacantes extrajeron aproximadamente $25 millones en valor, según indicó Chainalysis. Tras el exploit, USR perdió su paridad con el dólar, desplomándose más de un 74% según CoinGecko, mientras el atacante procedió a liquidar los tokens acuñados de forma ilícita.
Resolv Labs afirmó que se han quemado alrededor de $9 millones en USR para "reducir el impacto potencial", mientras que la plataforma DeFi está "trabajando con las fuerzas del orden y firmas de análisis on-chain" para identificar a los responsables y contener el USR acuñado ilícitamente.
La firma pausó todas las funciones del protocolo tras el exploit, y anunció que se está preparando para habilitar los canjes de "USR previo al incidente", comenzando con usuarios incluidos en la lista blanca.
Según un análisis de la plataforma de datos RootData, el método de ataque posiblemente involucró "oráculos manipulados, claves de firmante off-chain filtradas" u otras vulnerabilidades en el mecanismo de acuñación. Chainalysis reportó que el ataque fue posible porque las aprobaciones de acuñación dependían de un "servicio off-chain que utilizaba una clave privada privilegiada para autorizar cuánto USR podía crearse", y el smart contract no imponía ningún límite máximo en la acuñación de USR.
El fondo cripto D2 Finance describió el proceso de liquidación como una "ruta de salida de hackeo DeFi de manual", con los atacantes enviando USR en lotes a múltiples protocolos de liquidez priorizando grandes ventas masivas.
Este es el más reciente de una serie de incidentes de seguridad en DeFi en los últimos meses, entre ellos la decisión del protocolo Step Finance de Solana de cerrar operaciones semanas después de sufrir un hackeo de $29 millones, y un error de oráculo que dejó al prestamista DeFi Moonwell con $1,8 millones en deuda incobrable.