-
El ataque fue causado por la filtración de una clave.
-
El acceso a la clave permitía la acuñación de USR sin limites.
Resolv Labs, el protocolo detrás de la stablecoin USR, sufrió un exploit que permitió la creación de aproximadamente 80 millones de tokens USR de forma irregular. El incidente ocurrió en las primeras horas del domingo 22 de marzo de 2026 y provocó un colapso inmediato del precio de la stablecoin, que llegó a cotizar por debajo de los 0,15 dólares antes de recuperarse parcialmente.
El ataque fue inicialmente detectado por el usuario de X @ai_9684xtpa, quien observó en la contabilidad de Ethereum cómo se convirtieron 100.000 tokens USDC Mint en 50 millones de tokens USR este domingo a las 2:21 AM +UTC. Inmediatamente, la stablecoin cayó 74% para luego rebotar y estabilizarse alrededor de 50% por debajo de su anclaje con el precio del dólar. El rebote se debe a compras oportunistas y baja liquidez. Para el momento de redacción cotiza en USD 0,45.
La empresa especializada en stablecoins que generan rendimientos publicó su primer comunicado oficial a las 4:58 AM GMT reconociendo el mint de “50 millones de USR no respaldados” y anunciando la pausa inmediata de todas las funciones del protocolo. Horas después aclaró que el pool de colateral permanece intacto y que el problema se limitó al mecanismo de emisión.
Anatomía del ataque
El atacante depositó unos 200.000 USDC (en dos transacciones) en el contrato de minting “USR Counter” y, gracias a una clave comprometida con rol SERVICE_ROLE, emitió primero 50 millones de USR y luego otros 30 millones más. El contrato solo verificaba un depósito mínimo (100.000 USDC por operación), pero no imponía límite superior en la cantidad a acuñar. El diseño permitía que un solo firmante decidiera la cantidad de USR a emitir sin algún mecanismo de validación on-chain de ratio o límite.
El atacante convirtió rápidamente la mayor parte en wstUSR para evitar deslizamientos y lo intercambió en DEX como Curve y Uniswap por USDC, USDT y ETH. Extrajo entre 23 y 25 millones de dólares en valor real. Parte de los fondos (unos 11.437 ETH) ya fueron movidos a wallets frescas; aún retiene alrededor de 20 millones de wstUSR.
El ex desarrollador de NEAR protocolo, Vadim, asegura que la vulnerabilidad de Resolv no fue un bug, sino una decisión de diseño:
Cómo funciona la acuñación de USR: depositas USDC y un servicio externo con una clave privilegiada decide cuánto USR acuñar para ti. El contrato verifica el mínimo, pero no tiene máximo. Sin límite. Sin relación con la garantía. Lo que diga el poseedor de la clave, se acuña. Podrías depositar 1 dólar y acuñar miles de millones.
Vadim – ex desarrollador de NEAR
El problema fue que dicha clave se filtró, y al atacante tener acceso a la clave, pudo decidir sin límites cuánto USR acuñar. La falta de multifirmas, bloqueos temporales u otros mecanismos de restricción, facilitó el ataque.
¿Quienes son los afectados?
Si bien Resolv dice encontrarse «asegurándose que usuarios legítimos no hayan sido afectados», ya se sabe que los principales perjudicados son los Proveedores de Liquidez de los pools Curve y Uniswap, quienes entregaron USDC/USDT reales a cambio de USR falso. Las estimaciones apuntan a pérdidas de alrededor de 17 millones de dólares solo en Curve.
Resolv afirma que «la garantía está intacta» tras la explotación de USR por valor de 80 millones de dólares. Entonces, ¿quién perdió dinero realmente? No el protocolo: su tesorería no se vio afectada. La explotación se produjo en la capa de acuñación. De hecho, el contrato de acuñación obtuvo una comisión del 0,1 % sobre la explotación en sí. El protocolo literalmente ganó una comisión por el ataque: ~50.000 USR fueron a parar a collectedFee. Los verdaderos perdedores son los proveedores de liquidez de Curve. Cuando el atacante vendió 80 millones de USR sin respaldo en los DEX, los proveedores de liquidez estaban al otro lado de esa operación. Entregaron USDC y USDT reales. Recibieron tokens sin valor.
Vadim – ex desarrollador de NEAR.
Según Vadim, la pregunta ahora es quién compensa tales pérdidas. Resolv tiene un mecanismo para absorber las pérdidas del pérdidas del protocolo, creado para riesgos de mercado como tasas de financiación negativas, no para «compensar a los proveedores de liquidez externos de los DEX después de un hackeo. No existe un mecanismo automático para esto. Sería una decisión política, y significaría que los titulares de RLP asumirían la pérdida por un fallo de seguridad sobre el que no tenían control. Si Resolv compensa, los titulares de RLP pagarán. Si no lo hace, los LP asumirán la pérdida y la frase «la garantía está intacta» se convertirá en una estrategia de relaciones públicas», afirma el desarrollador.
Por los momentos, ni Curve, ni Uniswap se han pronunciado respecto al ataque. Por su parte, Stani Kulechov, fundador de Aave, declaró a través de X que su plataforma no había sido afectada.
Para el CTO de Ledger, Charles Guillemet, el ataque generará deuda incobrable en algunos mercados de préstamos. «Algunos pools de Morpho que utilizaban USR como garantía ya han sido liquidados», afirma el ejecutivo. Plataformas centralizadas o semi-centralizadas como Venus suspendieron de inmediato el trading de USR, mientras que Euler y Haiku pausaron todas las asignaciones y estrategias que involucraban la stablecoin, aplicando medidas preventivas para proteger a sus usuarios. Lido y Ether.fi han confirmado públicamente que sus usuarios no tienen exposición material o que los fondos involucrados permanecen seguros, lo que ha limitado el contagio sistémico a segmentos más pequeños del ecosistema.
Sin embargo, Guillemet desestima la gravedad del ataque para el mercado de criptomonedas en su conjunto. «Dado el tamaño de la mint y la capitalización de mercado de USR, este no es un evento del tipo de Terra Luna», agregó, aludiendo al colapso de la stablecoin UST que causó un daño sistémico en 2021.
Antes del exploit, el protocolo manejaba un valor bloqueado que había caído de USD 400 millones a unos USD 115 millones. USR tenía una capitalización de mercado de alrededor de 92-93 millones de dólares. El token de gobernanza RESOLV cotiza hoy en 0,054 dólares con una capitalización de 21 millones. Aunque no es un gigante como USDT o USDC, Resolv había ganado tracción en vaults de Morpho, Euler, Aave y plataformas como Ether.fi, Lido y Upshift.
Resolv Labs asegura que su equipo técnico trabaja en un plan de recuperación que incluye la identificación y posible congelamiento de los fondos robados.
