Resolv USR Stablecoin sufre un exploit de gran magnitud
En la madrugada del domingo, una vulnerabilidad explotada en el protocolo Resolv sacudió el mercado DeFi. Varias firmas de seguridad blockchain confirmaron que el atacante aprovechó una falla en el contrato de emisión de la stablecoin USR, creando cerca de 80 millones de tokens USR no respaldados y extrayendo aproximadamente 25 millones de dólares en activos del mercado.
El ataque ocurrió sobre las 02:21 (UTC) y fue detectado inicialmente por la cuenta de monitoreo on-chain YieldsAndMore, que identificó transacciones anómalas.
Detalles del ataque: pequeños depósitos generan una enorme emisión de tokens
Los datos de transacciones on-chain muestran que el atacante depositó inicialmente 100 000 USDC en el contrato USR Counter de Resolv. Teóricamente, esto solo debería haber devuelto la cantidad equivalente de USR.
Sin embargo, el resultado fue una anomalía grave:
- La primera transacción emitió unos 50 millones de USR
- La segunda transacción emitió otros 30 millones de USR
La cantidad total generada fue unas 500 veces el valor previsto.
El precio de USR se desploma rápidamente
USR es una stablecoin vinculada al dólar estadounidense, pero en vez de reservas fiat, utiliza una combinación de ETH y BTC con una estrategia de cobertura delta-neutral. Cuando se emitió un gran volumen de tokens no respaldados, el precio de mercado se descontroló rápidamente.
Las reacciones del mercado incluyeron:
- En el pool de liquidez de Curve Finance
- El precio cayó a 0,025 $ en solo 17 minutos
(Fuente: DEXSCREENER)
Aunque el precio rebotó brevemente hasta cerca de 0,85 $, no logró recuperar su paridad de 1 $.
Movimientos de fondos del atacante
La dirección del atacante, que comienza por 0x04A2, realizó una serie de operaciones de arbitraje:
- Cambió los USR emitidos por USDC y USDT
- Vendió estos activos en múltiples exchanges descentralizados
- Finalmente convirtió las ganancias en ETH
Los datos on-chain muestran:
- La billetera principal posee 11 409 ETH
- Valorado en unos 23,7 millones de dólares
Otra dirección aún mantiene cerca de 1,1 millones de dólares en wstUSR.
Respuesta de Resolv: activos colaterales intactos
Tras conocerse el incidente, Resolv Labs anunció en redes sociales:
- Todas las funciones del protocolo han sido suspendidas
- El pool de activos colaterales permanece intacto
- El problema está limitado al proceso de emisión de USR
(Fuente: ResolvLabs)
Analistas señalaron que, aunque los activos colaterales no fueron robados directamente, las pérdidas en el mercado siguen siendo graves.
Mecanismos de permisos y verificación insuficientes
El analista on-chain Andrew Hong identificó el problema central en la cuenta de permisos SERVICE_ROLE, que procesa solicitudes de swap pero está controlada por una billetera EOA estándar en lugar de una multisig.
El contrato de emisión también carecía de varias protecciones críticas:
- Sin verificación de precios por oráculo
- Sin límite en la cantidad emitida
- Sin comprobación de solicitudes de emisión o de montos ejecutados
La firma de inversión DeFi D2 Finance destacó tres posibles causas:
- Manipulación del oráculo de precios
- Compromiso de la cuenta de firma offline
- Ausencia de un mecanismo de verificación de montos de emisión
(Fuente: D2_Finance)
Efectos colaterales en el ecosistema DeFi
El colapso de USR impactó no solo a los holders de tokens, sino también al mercado de préstamos DeFi. USR y su versión stakeada, wstUSR, se utilizaban como colateral en plataformas como Morpho y Gauntlet.
Algunos traders aprovecharon la caída del precio de USR por debajo de 1 $:
- Compraron USR a precio reducido
- Lo usaron como colateral con la valoración fija del sistema de 1 $
- Tomaron préstamos en USDC
Esto podría agotar rápidamente la liquidez de los pools de préstamos.
Pool de seguros y capa de liquidez también en riesgo
El mecanismo de protección de liquidez de Resolv, el Resolv Liquidity Pool (RLP), está diseñado para absorber pérdidas y proteger USR. Antes del ataque, el valor circulante de RLP era de unos 38,6 millones de dólares, siendo el mayor holder el protocolo de rendimiento Stream Finance. Stream Finance sufrió previamente una pérdida de 93 millones de dólares por apropiación indebida de activos en 2025 y ahora enfrenta un nuevo riesgo.
Aumenta la presión regulatoria
Este incidente coincide con el debate en el Congreso de EE. UU. sobre regulaciones para stablecoins, incluyendo la GENIUS Act, que busca regular stablecoins que generan rendimiento. La American Bankers Association ha advertido que estos productos podrían desviar depósitos de los bancos tradicionales.
Conclusión
El incidente de Resolv USR evidencia que los riesgos de las stablecoins provienen no solo de los activos colaterales, sino también de fallas en el diseño de contratos y la gestión de permisos. Incluso cuando los activos subyacentes permanecen intactos, la expansión descontrolada de la oferta y la pérdida de confianza del mercado pueden causar pérdidas significativas. A medida que el mercado DeFi crece, será fundamental desarrollar mecanismos sólidos de monitoreo, gestión de permisos y control de riesgos para la evolución de las stablecoins y las finanzas on-chain.
