- L’attaquant a frappé 80 millions d’USR non garantis en utilisant entre 100 000 et 200 000 $, extrayant entre 23 et 25 millions de dollars en ETH.
- La cause principale était des clés privées compromises sans limites de mint on-chain ni vérifications oracle.
- USR a perdu son ancrage en quelques minutes, chutant sous 0,40 $ avec des creux proches de 0,02 $.
Resolv Labs a confirmé que son système de frappe de stablecoin USR avait été exploité le 22 mars 2026. Un attaquant a obtenu accès à des clés privées et a frappé 80 millions de jetons USR non garantis.
L’attaquant n’a utilisé que 100 000 à 200 000 $ en garantie initiale. Cette entrée aurait dû générer une petite quantité d’USR, mais le système permettait de créer des dizaines de millions.
L’attaquant a converti l’USR en sa version stakée (wstUSR), puis a échangé avec d’autres stablecoins, dont l’USDC de Circle, et enfin en Ether. Les données on-chain montrent une extraction totale d’environ 23 à 25 millions de dollars en ETH.
Cause profonde : compromission de clé privée, pas défaillance de code
L’exploit ne provenait pas d’un bug dans les smart contracts, et le système fonctionnait comme prévu. L’échec est dû à une infrastructure hors chaîne.
L’attaquant a compromis le système de gestion des clés AWS de Resolve et a pris le contrôle d’une clé de signature privilégiée. Cette clé avait le pouvoir d’approuver les montants de frappe.
Le contrat ne vérifiait qu’une signature valide et n’avait pas de limite maximale de monnaie, pas d’oracle de prix, ni de vérification du ratio de garantie.
Deux transactions principales montrent l’ampleur, avec respectivement 50 millions de USR frappés et 30 millions de USR frappés, avec 80 millions de USR créés avec un soutien minimal. Une fois que les attaquants compromettaient la clé, ils activaient la minage illimitée de jetons.
La contagion se propage à travers les protocoles DeFi
Les dégâts ne sont pas restés dans la Résolution. Les protocoles intégrés à l’USR ont également été touchés. Morpho Labs a rapporté une exposition via ses coffres de prêt sélectionnés. L’exploit a touché environ 15 coffres contenant plus de 10 000 $ chacun.
Les conservateurs, dont Gauntlet, Re7 Labs, KPK et 9summits, avaient des bassins liés à l’USR. Certains systèmes automatisés ont continué à fournir de la liquidité même après l’exploit, aggravant les pertes.
Morpho a déclaré que ses contrats principaux restaient sûrs, avec un risque limité aux conservateurs.
Le stablecoin USR perd son ancrage alors que le prix chute sous la barre de 0,40 $
Le choc soudain de l’offre a immédiatement brisé le système, l’USR perdant son ancrage au dollar en quelques minutes.
Les données montrent que le jeton est descendu sous la barre de 0,40 $, avec des creux proches de 0,02 $ sur certains flux. La chaîne de lyse estime un effondrement de 80 % au sommet de la panique avant une récupération partielle.
Le protocole a immédiatement arrêté les fonctions de mint et de redeem pour stopper d’autres dégâts. En même temps, l’assaillant a tenté une frappe supplémentaire, forçant l’équipe à réagir rapidement.
Les détenteurs d’USR ont été exposés alors que les pools de liquidité étaient inondés de jetons non garantis.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
