Un fallo de seguridad en el protocolo Resolv provocó el desplome del stablecoin USR el domingo por la mañana. Los atacantes aprovecharon una vulnerabilidad en el contrato de emisión alrededor de las 02:21 UTC para crear tokens sin respaldo. Múltiples firmas de seguridad blockchain confirmaron que el incidente extrajo aproximadamente 25 millones de dólares en activos digitales.
El atacante generó unos 80 millones de tokens USR no respaldados a través de dos transacciones distintas. Posteriormente, intercambiaron estos tokens por USDC y USDT en exchanges descentralizados y los convirtieron en Ethereum. Actualmente, el actor malicioso posee 11,409 ETH valorados en unos 23.7 millones de dólares más otros activos en una billetera separada.
El precio del USR cayó a 0.025 dólares en solo 17 minutos en el pool más líquido de Curve Finance. Aunque logró recuperarse hasta 0.85 dólares momentáneamente, el activo no ha vuelto a restaurar su paridad con el dólar. Al momento del reporte, el token operaba en 0.27 dólares, representando una caída del 72% en la semana.
Inicialmente, el equipo de Resolv describió el incidente como un compromiso de infraestructura con una clave privada vulnerada. Sin embargo, los analistas onchain descubrieron que la causa raíz era una falla estructural en el diseño del contrato inteligente. La declaración inicial no reflejaba la gravedad técnica de la vulnerabilidad explotada por el atacante.
El rol SERVICE_ROLE, encargado de completar solicitudes de intercambio, estaba controlado por una sola cuenta externa en lugar de una multisig. El contrato carecía de verificaciones de oracle, validación de montos y límites máximos de emisión para prevenir abusos. Esto permitió al actor depositar 100,000 USDC y recibir 50 millones de USR en retorno sin restricciones.
Ido Sofer, fundador de Sodot, señaló que esta configuración es un punto único de fallo atractivo para amenazas internas y externas. Según Sofer, esto se alinea con una tendencia creciente de ataques que se enfocan en credenciales sensibles que no mantienen fondos directamente. Los equipos de seguridad a menudo pasan por alto la protección de claves de despliegue y credenciales de desarrolladores, según reportó CoinDesk.
Los datos de DeFiLlama muestran que el valor total bloqueado de Resolv alcanzó un máximo cercano a 684 millones de dólares en febrero de 2025. El capital disminuyó durante el año hasta llegar a 95 millones de dólares antes de la explotación del sistema. Esta tendencia de declive precedió al ataque y sugiere posibles preocupaciones previas de confianza en el mercado.
Resolv afirmó que está colaborando con agencias policiales y firmas de análisis onchain para recuperar los activos sustraídos. El equipo advirtió fuertemente contra el intercambio de USR mientras se implementan las medidas de recuperación. Las acciones de los usuarios durante este periodo posterior al exploit podrían afectar las posibilidades de recuperación de fondos.
El incidente subraya la necesidad crítica de auditorías de contratos inteligentes y mecanismos de gobernanza más robustos en el sector DeFi. La falta de límites de emisión y validación de ratios permitió un desequilibrio masivo que el sistema no pudo corregir automáticamente. Los desarrolladores deben revisar cómo gestionan los roles privilegiados en sus arquitecturas de contratos.
El mercado observará de cerca si Resolv logra recuperar los fondos y restablecer la confianza en el protocolo. Los inversores deberán vigilar las actualizaciones sobre la seguridad de los contratos y las medidas legales emprendidas. Este evento podría influir en las decisiones de asignación de capital hacia otros proyectos de stablecoins en el ecosistema.
