Resolv Labs confirmó un exploit de $25M que acuñó 80 millones de tokens USR sin respaldo y rompió la paridad con el dólar

Una stablecoin que cotizaba a $1 cayó a fracciones de centavo en algunos pools. Vale la pena comprender con precisión el mecanismo detrás de esto.

Cómo Funcionó el Ataque

Resolv Labs confirmó una explotación de seguridad dirigida a la función de acuñación de su contrato de stablecoin USR. El ataque se ejecutó en dos etapas. En la primera, un atacante utilizó aproximadamente $100,000 en USDC para acuñar 50 millones de tokens USR a través de las funciones requestSwap y completeSwap del protocolo, una proporción de aproximadamente 500 a 1 entre el capital desplegado y los tokens generados. La firma de seguridad PeckShield identificó una segunda transacción poco después en la que el atacante acuñó 30 millones adicionales de USR, llevando la emisión no autorizada total a 80 millones de tokens.

Los analistas de D2 Finance identificaron tres vectores potenciales para la brecha: un oráculo comprometido que alimentaba datos de precios incorrectos en la función de acuñación, un firmante off-chain filtrado cuyas credenciales autorizaron la acuñación sin respaldo legítimo, o una ausencia crítica de validación de cantidad durante el proceso de acuñación mismo. Cualquiera de los tres habría permitido al atacante eludir los controles que deberían haber evitado una emisión sin respaldo a esa escala. La investigación está en curso y ninguna causa única ha sido confirmada públicamente.

La Pérdida del Paridad y Lo Que Costó

Las consecuencias de inyectar 80 millones de tokens sin respaldo en la infraestructura de liquidez de USR fueron inmediatas. USR cayó de su paridad de $1.00, cotizando tan bajo como $0.257 en algunas plataformas. En el pool USR/USDC en Curve Finance, donde la liquidez concentrada amplifica el impacto en el precio, el token cayó a aproximadamente $0.025 debido a un deslizamiento severo cuando el atacante intercambió los tokens acuñados por stablecoins legítimas.

El atacante extrajo exitosamente al menos $25 millones al intercambiar el USR acuñado por USDC y USDT antes de convertirlo en aproximadamente 11,422 ETH. Los $100,000 en USDC utilizados para iniciar la explotación generaron un retorno de al menos $25 millones, un retorno de 250x sobre el capital desplegado para ejecutar el ataque.

Resolv Labs declaró que los activos de garantía originales del protocolo permanecieron suficientes y no fueron robados directamente en la explotación. El daño no provino de tomar lo que estaba allí, sino de crear lo que no debería haber estado allí y convertirlo en valor real antes de que el protocolo pudiera responder.

La Respuesta del Protocolo y las Consecuencias del Mercado

Resolv Labs pausó todas las funciones del protocolo inmediatamente después de confirmar la brecha, deteniendo más acuñaciones y limitando daños adicionales. El equipo declaró que está investigando la explotación e intentando recuperar los fondos extraídos, aunque la recuperación de fondos convertidos en ETH y movidos a través de la infraestructura DeFi es históricamente difícil.

Las consecuencias se extendieron más allá del propio protocolo de Resolv. Euler Labs deshabilitó la funcionalidad de colateral de USR y RLP en toda su plataforma. Venus Protocol suspendió completamente el trading de USR para proteger a los usuarios de la exposición a un activo que perdió su paridad. Esas respuestas reflejan la naturaleza interconectada de la infraestructura de colateral DeFi, donde una explotación de stablecoin en un protocolo crea riesgo inmediato para cada protocolo que aceptó esa stablecoin como colateral o par de trading.

La explotación sigue un patrón que ha aparecido repetidamente en incidentes de seguridad DeFi. La vulnerabilidad no estaba en el colateral subyacente del activo sino en la lógica del contrato que gobierna cómo se emiten nuevos tokens. Cuando las funciones de acuñación carecen de validación suficiente, el requisito de respaldo que da valor a una stablecoin puede ser eludido por completo sin tocar las reservas subyacentes. El costo de entrada de $100,000 y la salida de $25 millones confirman cuán asimétrica puede ser esa vulnerabilidad cuando pasa desapercibida.

La publicación Resolv Labs Confirmó una Explotación de $25M que Acuñó 80 Millones de Tokens USR sin Respaldo y Rompió la Paridad con el Dólar apareció primero en ETHNews.