- El atacante acuñó 80 millones de USR sin respaldo usando entre 100.000 y 200.000 dólares, extrayendo entre 23 millones y 25 millones en ETH.
- La causa raíz fueron claves privadas comprometidas sin límites de menta en cadena ni comprobaciones de oráculo.
- USR perdió su anclaje en cuestión de minutos, cayendo por debajo de $0,40 con mínimos cercanos a $0,02.
Resolv Labs confirmó que su sistema de acuñación de stablecoins USR fue explotado el 22 de marzo de 2026. Un atacante accedió a claves privadas y acuñó 80 millones de tokens USR sin respaldo.
El atacante utilizó solo entre 100.000 y 200.000 dólares como garantía inicial. Esa entrada debería haber añado una pequeña cantidad de USR, pero el sistema permitió crear decenas de millones.
El atacante convirtió USR en su versión con stake (wstUSR), luego cambió a otras stablecoins, incluyendo el USDC de Circle, y finalmente a Ether. Los datos on-chain muestran una extracción total de aproximadamente 23 a 25 millones de dólares en ETH.
Causa raíz: Compromiso de clave privada, no fallo de código
El exploit no provino de un error en los contratos inteligentes, y el sistema funcionaba según el código. El fallo vino de infraestructuras fuera de la cadena.
El atacante comprometió el sistema de gestión de claves AWS de Resolve y obtuvo el control de una clave de firma privilegiada. Esta llave tenía autoridad para aprobar las cantidades de acuñación.
El contrato solo comprobaba una firma válida y no tenía límite máximo de cerca, ni oráculo de precio, ni comprobación de la ratio de garantías.
Dos transacciones principales muestran la escala, con 50 millones de USR acuñados y 30 millones de USR acuñados, respectivamente, y 80 millones de USR creados con respaldo mínimo. Una vez que los atacantes comprometían la clave, permitían la miningación ilimitada de tokens.
El contagio se extiende a través de protocolos DeFi
El daño no se quedó dentro de Resolv. Los protocolos integrados con el USR también sufrieron impactos. Morpho Labs informó de exposición a través de sus bóvedas de préstamo seleccionadas. El exploit afectó a unas 15 bóvedas con más de 10.000 dólares cada una.
Los conservadores, incluidos Gauntlet, Re7 Labs, KPK y 9summits, tenían pozas vinculadas a USR. Algunos sistemas automatizados continuaron proporcionando liquidez incluso después del exploit, agravando las pérdidas.
Morpho afirmó que sus contratos principales seguían siendo seguros, con el riesgo limitado a los comisarios.
USR Stablecoin pierde su anclaje mientras el precio baja por debajo de $0.40
El repentino choque de oferta rompió el sistema al instante, ya que la USR perdió su anclaje en dólares en cuestión de minutos.
Los datos muestran que el token bajó por debajo de $0,40, con mínimos cercanos a $0,02 en algunas señales. Chainalysis estima un colapso del 80% en el pico del pánico antes de una recuperación parcial.
El protocolo apagó inmediatamente las funciones de mint y redeem para evitar más daños. Al mismo tiempo, el atacante intentó acuñar más monedas, lo que obligó a una rápida respuesta del equipo.
Los poseedores de USR quedaron expuestos cuando los pools de liquidez se inundaron de tokens sin respaldo.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
