La stablecoin de Resolv Labs perdió su paridad con el dólar y llegó a cotizar a 0,025 dólares tras un exploit que aprovechó una clave privada comprometida y la ausencia de controles básicos en el contrato inteligente.
El ecosistema DeFi ha vuelto a ser escenario de un importante incidente de seguridad. Durante la madrugada del 22 de marzo, un atacante explotó una vulnerabilidad en el contrato de emisión (minting) de la stablecoin USR de Resolv Labs, lo que le permitió acuñar aproximadamente 80 millones de tokens sin el correspondiente respaldo de colateral. A través de una serie de operaciones en distintas plataformas descentralizadas, el hacker logró extraer un valor cercano a los 25 millones de dólares, principalmente en ether (ETH).
Un fallo estructural en el contrato de minting
Según los análisis de firmas de seguridad como Chainalysis y PeckShield, el origen del ataque fue la combinación de una clave privada comprometida y una deficiente arquitectura del contrato. La cuenta con privilegios SERVICE_ROLE, encargada de autorizar las solicitudes de intercambio, estaba controlada por una única dirección externa (EOA) en lugar de un multisig. Además, el contrato carecía de comprobaciones de oráculo, validación de cantidades y límites máximos de acuñación.
El atacante depositó unos 200.000 USDC y, aprovechando la ausencia de controles, recibió alrededor de 50 millones de USR —unas 500 veces la cantidad esperada— en dos transacciones. Posteriormente, convirtió los tokens en versiones envueltas (wstUSR) y los intercambió por USDC y USDT en pools de liquidez de Curve y Uniswap, para finalmente cambiarlos por ether. En la actualidad, el hacker mantiene unos 11.400 ETH (valorados en unos 23,7 millones de dólares al precio actual de ~2.077 dólares por ETH) repartidos en múltiples carteras, además de 1,1 millones de dólares en wstUSR.
Consecuencias inmediatas: despegue y contagio en DeFi
La emisión masiva de USR sin respaldo provocó un colapso inmediato de su precio. En el pool más líquido de Curve, la stablecoin cayó desde su paridad de 1 dólar hasta un mínimo de 0,025 dólares en solo 17 minutos. Posteriormente se recuperó hasta rozar los 0,85 dólares, pero al cierre de esta edición cotiza en torno a los 0,27 dólares, lo que representa una caída superior al 70% en la semana.
El despegue afectó a otros protocolos que utilizaban USR o sus versiones envueltas como colateral. Plataformas de préstamo como Morpho y Fluid sufrieron fuertes salidas de liquidez y liquidaciones masivas, viéndose obligadas a pausar sus mercados relacionados para contener el riesgo sistémico.
La respuesta de Resolv Labs: Medidas de recuperación y lecciones de seguridad
Resolv Labs detuvo inmediatamente todas las funciones del protocolo tras detectar el ataque. En un comunicado, la empresa aseguró que el colateral principal permanece intacto y que el incidente se limitó al mecanismo de emisión. Desde el 23 de marzo, el equipo ha comenzado a permitir el canje (redención) para los tenedores de USR anteriores al exploit, mediante una lista blanca, mientras que el resto de operaciones permanecen suspendidas. También se han quemado unos 9 millones de USR para mitigar el impacto y se colabora con las autoridades y firmas de análisis en cadena para identificar a los responsables y recuperar los activos.
Ido Sofer, fundador de la firma de gestión de claves Sodot, señaló que “este tipo de configuraciones no son infrecuentes en los contratos inteligentes, pero representan un punto único de fallo muy atractivo para atacantes internos o externos”. El incidente pone de manifiesto la importancia de contar con controles de acceso robustos (como firmas múltiples), límites de emisión y validaciones de oráculo en los protocolos de stablecoins, incluso después de haber pasado por auditorías.
Con este suceso, Resolv Labs se suma a la lista de proyectos DeFi afectados por vulnerabilidades en los últimos meses, recordando que la seguridad sigue siendo uno de los mayores desafíos del sector.
Fuentes de referencia
- Comunicados oficiales de Resolv Labs en X
- Chainalysis – Análisis forense blockchain
- DeFiLlama – Datos de TVL de Resolv
- Precio de USR en CoinGecko
