Un attaquant a frappé 80 millions de jetons USR sans garantie, faisant chuter le stablecoin de plus de 95% et extrayant environ 25 millions de dollars en ETH.
Le stablecoin USR de Resolv Labs a perdu son ancrage au dollar le 22 mars après qu'un attaquant ait exploité des failles dans le mécanisme de frappe du protocole pour créer 80 millions de jetons sans garantie, déclenchant une chute de prix de plus de 95% et environ 25 millions de dollars de pertes.
L'attaquant a déposé entre 100 000 et 200 000 dollars en USDC, puis a exploité des faiblesses dans les fonctions requestSwap et completeSwap de Resolv pour frapper environ 80 millions de jetons USR, représentant une inflation de 400x à 500x de la garantie fournie. La cause profonde remonte à des défaillances critiques de conception: un compte privilégié contrôlé par une seule clé, aucune vérification d'oracle ou de montant, et aucune limite maximale de frappe.
USR est passé de son ancrage de 1 dollar à un minimum de 0,025 dollar avant de se redresser partiellement dans la fourchette de 0,40 à 0,80 dollar. L'attaquant a converti entre 23 et 25 millions de dollars d'USR en ETH et a déplacé les fonds à travers plusieurs portefeuilles dans des efforts apparents de blanchiment. Resolv Labs a immédiatement suspendu les opérations du protocole et a annoncé des remboursements sur liste d'autorisation à partir du 23 mars.
L'exploit de Resolv met en évidence les vulnérabilités persistantes dans les mécanismes de frappe DeFi. L'absence de protections de base, y compris la vérification des prix par oracle et les plafonds de frappe, a permis à un dépôt relativement petit de générer des centaines de millions de jetons sans garantie. Plusieurs protocoles de prêt, dont Morpho, Fluid et Euler, ont rapidement désactivé USR comme garantie, limitant la contagion dans la DeFi.
KyberSwap a bloqué tous les portefeuilles liés à l'attaquant le 23 mars, empêchant d'autres échanges via sa plateforme d'agrégation. L'incident s'ajoute à une liste croissante de dépeg de stablecoins en 2026 et soulève des questions sur la couverture d'audit pour les protocoles DeFi plus récents.
Resolv Labs a commencé les remboursements sur liste d'autorisation pour les utilisateurs affectés à partir du 23 mars. L'équipe n'a pas encore confirmé si un plan de compensation sera proposé. Les enquêteurs on-chain suivent les mouvements du portefeuille de l'attaquant, avec environ 25 millions de dollars en ETH toujours distribués sur plusieurs adresses. La communauté DeFi au sens large observe si les protocoles de prêt qui détenaient des garanties USR feront face à des répercussions de créances douteuses.
Ceci est une histoire en développement. L'exploit souligne pourquoi les audits des mécanismes de frappe et les contrôles de sécurité de base restent essentiels pour les protocoles DeFi gérant les fonds des utilisateurs.
Avertissement: Le contenu des actualités est fourni à titre informatif uniquement et ne doit pas être considéré comme un conseil financier. Les conditions du marché peuvent changer rapidement. Effectuez toujours vos propres recherches.
