- O atacante cunhou 80 milhões de USR sem garantia usando entre $100 mil e 200 mil, extraindo entre 23 milhões e 25 milhões em ETH.
- A causa raiz foi chaves privadas comprometidas, sem limites de mint on-chain ou checagens de oráculo.
- A USR perdeu sua posição fixa em minutos, caindo abaixo de $0,40 com mínimos próximos a $0,02.
A Resolv Labs confirmou que seu sistema de cunhagem de stablecoin USR foi explorado em 22 de março de 2026. Um atacante obteve acesso a chaves privadas e cunhou 80 milhões de tokens USR sem respaldo.
O atacante usou apenas $100.000 a $200.000 como garantia inicial. Essa entrada deveria ter cunhado uma pequena quantidade de USR, mas o sistema permitiu que dezenas de milhões fossem criados.
O atacante converteu o USR em sua versão com staking (wstUSR), depois trocou para outras stablecoins, incluindo o USDC da Circle, e finalmente para o Ether. Dados on-chain mostram extração total de aproximadamente 23 milhões a 25 milhões de dólares em ETH.
Causa Raiz: Comprometimento de Chave Privada, Não Falha de Código
O exploit não veio de um bug em contratos inteligentes, e o sistema funcionava conforme o código. A falha veio da infraestrutura off-chain.
O atacante comprometeu o sistema de gerenciamento de chaves AWS da Resolve e assumiu o controle de uma chave de assinatura privilegiada. Essa chave tinha autoridade para aprovar valores de cunhagem.
O contrato só verificava uma assinatura válida e não tinha limite máximo de cunha, nem oráculo de preço, nem verificação de colateral do rácio de colateral.
Duas transações principais mostram a escala, com 50 milhões de USR cunhados e 30 milhões de USR cunhados, respectivamente, com 80 milhões de USR criados com respaldo mínimo. Uma vez que os atacantes comprometiam a chave, eles habilitavam a cunhagem ilimitada de tokens.
O contágio se espalha por protocolos DeFi
O dano não ficou dentro do Resolve. Protocolos integrados ao USR também sofreram impactos. A Morpho Labs relatou exposição por meio de seus cofres de empréstimos selecionados. O exploit impactou cerca de 15 cofres com mais de $10.000 cada.
Curadores, incluindo Gauntlet, Re7 Labs, KPK e 9summits, tinham piscinas vinculadas à USR. Alguns sistemas automatizados continuaram a fornecer liquidez mesmo após o exploit, agravando as perdas.
Morpho afirmou que seus contratos principais permaneciam seguros, com risco limitado aos curadores.
USR Stablecoin Perde Anel Enquanto Preço Despenca Abaixo de $0,40
O choque repentino de oferta quebrou o sistema instantaneamente, já que a USR perdeu sua posição fixa em dólares em poucos minutos.
Os dados mostram que o token caiu abaixo de $0,40, com mínimos próximos a $0,02 em alguns feeds. A cadeia estima um colapso de 80% no auge do pânico antes da recuperação parcial.
O protocolo desligou imediatamente as funções de mint e redeem para evitar danos adicionais. Ao mesmo tempo, o atacante tentou cunhagem adicional, forçando uma resposta rápida da equipe.
Os detentores de USR ficaram expostos à medida que os pools de liquidez foram inundados com tokens não garantidos.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
