Resolv Protocol hackeado: $25 millones drenados a través de vulnerabilidad del stablecoin USR

Aspectos Destacados

• Un atacante sofisticado aprovechó una vulnerabilidad en el mecanismo de acuñación de USR de Resolv, generando aproximadamente 80 millones de tokens sin respaldo a partir de un depósito inicial de solo $200,000 en USDC
• El hacker extrajo con éxito 11,409 ETH, valorados en aproximadamente $25 millones
• El valor de USR se desplomó a $0.025 en Curve Finance antes de experimentar una recuperación parcial a aproximadamente $0.85
• Resolv ha suspendido todas las operaciones del protocolo; mientras el equipo afirma que el pool de colateral permanece seguro, los titulares de tokens USR sufrieron pérdidas significativas debido a la inflación del suministro
• Las principales plataformas DeFi incluyendo Morpho, Lido y Aave respondieron rápidamente para evaluar y mitigar su exposición

Una brecha de seguridad crítica golpeó el stablecoin USR de Resolv el domingo, con un atacante explotando vulnerabilidades en la infraestructura de acuñación para generar aproximadamente 80 millones de tokens sin respaldo, drenando finalmente aproximadamente $25 millones en Ether del protocolo.

La actividad maliciosa comenzó alrededor de las 2:21 a.m. UTC. El perpetrador inició el ataque depositando 100,000 USDC en el contrato USR Counter de Resolv, recibiendo astronómicos 50 millones de USR a cambio — aproximadamente 500 veces la cantidad legítima. Una transacción de seguimiento produjo 30 millones de tokens adicionales.

Tras la acuñación no autorizada, el atacante intercambió sistemáticamente los USR fraudulentos por USDC y USDT a través de varios exchanges descentralizados, consolidando posteriormente las ganancias en ETH. La billetera del atacante actualmente contiene 11,409 ETH, representando aproximadamente $23.7 millones en valor de mercado actual.

USR, diseñado para mantener una paridad de precio de $1, colapsó catastróficamente a $0.025 en Curve Finance apenas 17 minutos después de la transacción inicial de acuñación. Aunque el token experimentó un rebote parcial a aproximadamente $0.85, permaneció significativamente desanclado hasta la mañana del domingo.

A pesar de estas garantías, los analistas de blockchain destacaron que los titulares existentes de USR sufrieron daños sustanciales. La afluencia masiva de 80 millones de tokens recién acuñados diluyó severamente el suministro en circulación, mientras que la venta agresiva del atacante agotó la liquidez disponible del pool. Cualquier inversor que mantuviera USR durante el incidente experimentó pérdidas inmediatas en su cartera.

Fallas de Seguridad Atribuidas a Gestión de Acceso Inadecuada

El analista de seguridad de blockchain Andrew Hong identificó el origen de la brecha como una cuenta privilegiada designada como SERVICE_ROLE. Esta cuenta crítica estaba controlada por una sola cuenta de propiedad externa en lugar de una billetera multifirma más segura. El contrato de acuñación carecía de salvaguardas esenciales incluyendo verificación de oracle, protocolos de validación de cantidades y umbrales máximos de acuñación.

Pashov, una empresa de seguridad que auditó previamente el módulo de staking de Resolv en julio de 2025, informó a Cointelegraph que el problema fundamental parece derivarse de un compromiso de clave privada en lugar de debilidades inherentes en el diseño arquitectónico del protocolo.

El sitio web oficial de Resolv documenta 14 auditorías separadas realizadas por cinco empresas de seguridad distintas, un programa de recompensas por errores de $500,000 alojado en Immunefi, y sistemas continuos de vigilancia de contratos inteligentes.

El Ecosistema DeFi Responde para Contener las Consecuencias

Numerosas plataformas DeFi implementaron medidas de respuesta rápida tras el exploit. Lido confirmó que los fondos de usuarios depositados en Lido Earn permanecían seguros. El fundador de Aave, Stani Kulechov, declaró que la plataforma no mantenía exposición directa a USR y confirmó que Resolv estaba reembolsando activamente la deuda pendiente. El cofundador de Morpho, Merlin Egalite, aclaró que solo bóvedas específicas tenían exposición a USR.

Efectos de Contagio se Propagan por los Ecosistemas de Préstamos

Tanto USR como su derivado en staking wstUSR fueron aprobados como activos de garantía en plataformas como Morpho y Gauntlet. Los analistas de mercado observaron que traders oportunistas pueden haber adquirido USR a su precio severamente descontado y lo apalancaron para pedir prestado USDC a la valoración completa de $1, drenando efectivamente las reservas de liquidez de las bóvedas afectadas.

El tramo de seguro junior de Resolv, RLP, también enfrenta un potencial deterioro de capital. Stream Finance, manteniendo una posición sustancial de 13.6 millones de RLP valorada en aproximadamente $17 millones, podría transmitir pérdidas adicionales a su base de depositantes. Stream divulgó previamente una pérdida de $93 millones en noviembre de 2025.

El token de gobernanza RESOLV disminuyó aproximadamente 8.5% en el período de 24 horas posterior a la brecha de seguridad.

Este incidente de Resolv ejemplifica un patrón más amplio de la industria. Según un informe reciente de Immunefi, el hackeo promedio de criptomonedas ahora inflige daños de aproximadamente $25 millones, con los cinco exploits más grandes durante 2024-2025 representando el 62% del total de fondos robados.

La publicación Resolv Protocol Hacked: $25 Million Drained Through USR Stablecoin Vulnerability apareció primero en Blockonomi.