Resolv Labs brûle 36,7 millions d'USR piratés après qu'une compromission de clé a permis à un attaquant de frapper 80 millions de tokens non adossés et de vider 24,5 millions de dollars en ETH, laissant un trou de 34 millions de dollars dans le protocole.
Resolv Labs a détruit 36,73 millions de stablecoins USR précédemment contrôlés par un attaquant, utilisant une mise à jour de contrat pour récupérer une partie du butin d'un exploit de mars qui a frappé 80 millions de tokens non adossés et laissé le protocole avec une perte estimée à 34 millions de dollars. Selon l'analyste on-chain Yu Jin, « il y a environ 1 heure, Resolv Labs a détruit 36,73 millions d'USR détenus par le hacker via une mise à jour de contrat », après que l'exploiteur ait déjà liquidé environ 34 millions d'USR pour 11 409 ETH (environ 24,48 millions de dollars) désormais stationnés à l'adresse 0x8ED…81C. Au total, l'équipe de Resolv a retiré environ 46 millions d'USR de l'adresse de l'attaquant, mais la valeur extraite en ETH laisse le protocole faire face à un impact économique réel d'environ 34 millions de dollars.
L'incident découle d'une défaillance critique dans le flux de frappe d'USR de Resolv qui a permis à un seul attaquant, utilisant moins de 200 000 $ en garantie initiale, de générer 80 millions d'USR non garantis et de les vider dans les pools de liquidités DeFi. Chainalysis l'a décrit comme un cas où « un attaquant a pu frapper des dizaines de millions de stablecoins non adossés (USR) de Resolv et en extraire environ 23 millions de dollars en valeur », soulignant comment une clé de service compromise dans un processus de frappe hors chaîne en deux étapes peut entraîner des pertes systémiques. Dans sa couverture antérieure, crypto.news a rapporté que l'USR « a perdu son peg après qu'un attaquant ait frappé des millions de tokens non adossés », forçant Resolv Labs à suspendre ses opérations et à déployer un plan de récupération alors que le stablecoin s'est effondré jusqu'à 0,14 $ avant de rebondir partiellement.
L'exploit de l'USR est devenu un cas d'étude sur le risque lié à la gestion des clés en DeFi, suscitant des comparaisons avec d'autres défaillances récentes de stablecoins et la contagion des marchés de prêt. Dans un post-mortem, Resolv Labs a souligné que son pool de garanties « reste intact » malgré la frappe de 80 millions d'USR due à l'exploit, même si les fournisseurs de liquidités et les utilisateurs à effet de levier à travers les protocoles intégrés ont absorbé les glissements de prix et les liquidations forcées. Une analyse antérieure du crash a montré l'USR se négociant à un moment donné entre 0,23 $ et 0,27 $, les entreprises de données on-chain estimant les profits de l'attaquant entre 23 et 25 millions de dollars alors que le token a perdu son peg sur Curve et d'autres pools.
La destruction partielle de 36,73 millions d'USR via une mise à jour de contrat souligne comment les contrôles privilégiés peuvent à la fois permettre et atténuer les défaillances catastrophiques dans des systèmes nominalement décentralisés. Pour les traders qui suivent Resolv et son token de gouvernance RESOLV, qui a précédemment connu des fluctuations volatiles après les cotations en bourse et les rachats, cet épisode relance des questions de longue date sur la capacité des stablecoins à rendement à évoluer sans introduire de points de défaillance uniques. Comme crypto.news l'a noté dans un article précédent sur le depeg de l'USR, les protocoles DeFi avec des stablecoins composables sont désormais soumis à une pression renouvelée pour renforcer la logique de frappe, faire pivoter les clés et traiter l'infrastructure backend avec la même rigueur que les contrats intelligents audités.
