Protocole Resolv piraté : 25 millions de dollars détournés via une vulnérabilité du stablecoin USR

Points clés

• Un attaquant sophistiqué a exploité une vulnérabilité dans le mécanisme de frappe de l'USR de Resolv, générant environ 80 millions de tokens non garantis à partir d'un dépôt initial de seulement 200 000 $ en USDC
• Le pirate a réussi à extraire 11 409 ETH, d'une valeur d'environ 25 millions de dollars
• La valeur de l'USR a chuté à 0,025 $ sur Curve Finance avant de connaître une reprise partielle à environ 0,85 $
• Resolv a suspendu toutes les opérations du protocole ; bien que l'équipe affirme que le pool collatéral reste sécurisé, les détenteurs de tokens USR ont subi des pertes importantes en raison de l'inflation de l'offre
• Les principales plateformes DeFi, notamment Morpho, Lido et Aave, ont rapidement réagi pour évaluer et atténuer leur exposition

Une faille de sécurité critique a frappé le stablecoin USR de Resolv dimanche, un attaquant exploitant des vulnérabilités dans l'infrastructure de frappe pour générer environ 80 millions de tokens non garantis, drainant finalement environ 25 millions de dollars d'Ether du protocole.

L'activité malveillante a commencé vers 2 h 21 UTC. L'auteur a lancé l'attaque en déposant 100 000 USDC dans le contrat USR Counter de Resolv, recevant en retour 50 millions d'USR astronomiques — environ 500 fois le montant légitime. Une transaction de suivi a produit 30 millions de tokens supplémentaires.

Après la frappe non autorisée, l'attaquant a systématiquement échangé les USR frauduleux contre des USDC et USDT via divers échanges décentralisés, consolidant ensuite les produits en ETH. Le portefeuille de l'attaquant contient actuellement 11 409 ETH, représentant environ 23,7 millions de dollars en valeur marchande actuelle.

L'USR, conçu pour maintenir un ancrage de prix à 1 $, s'est effondré de manière catastrophique à 0,025 $ sur Curve Finance seulement 17 minutes après la transaction de frappe initiale. Bien que le token ait connu un rebond partiel à environ 0,85 $, il est resté significativement désancré dimanche matin.

Malgré ces assurances, les analystes blockchain ont souligné que les détenteurs existants d'USR ont subi des dommages substantiels. L'afflux massif de 80 millions de tokens nouvellement frappés a sévèrement dilué l'approvisionnement en circulation, tandis que la vente agressive de l'attaquant a épuisé la liquidité disponible du pool. Tous les investisseurs détenant de l'USR pendant l'incident ont subi des pertes de portefeuille immédiates.

Failles de sécurité attribuées à une gestion d'accès inadéquate

L'analyste en sécurité blockchain Andrew Hong a identifié l'origine de la faille comme un compte privilégié désigné comme SERVICE_ROLE. Ce compte critique était contrôlé par un seul compte détenu en externe plutôt que par un portefeuille multi-signatures plus sécurisé. Le contrat de frappe manquait de protections essentielles, notamment la vérification oracle, les protocoles de validation des montants et les seuils de frappe maximaux.

Pashov, une société de sécurité qui a précédemment audité le module de staking de Resolv en juillet 2025, a informé Cointelegraph que le problème fondamental semble provenir d'une compromission de clé privée plutôt que de faiblesses inhérentes dans la conception architecturale du protocole.

Le site officiel de Resolv documente 14 audits distincts menés par cinq sociétés de sécurité différentes, un programme de prime de bug de 500 000 $ hébergé sur Immunefi et des systèmes de surveillance de smart contract en cours.

L'écosystème DeFi réagit pour contenir les retombées

De nombreuses plateformes DeFi ont mis en œuvre des mesures de réponse rapide suite à l'exploit. Lido a confirmé que les fonds des utilisateurs déposés dans Lido Earn restaient sécurisés. Le fondateur d'Aave, Stani Kulechov, a déclaré que la plateforme ne maintenait aucune exposition directe à l'USR et a confirmé que Resolv remboursait activement la dette en cours. Le cofondateur de Morpho, Merlin Egalite, a précisé que seuls des coffres spécifiques avaient une exposition à l'USR.

Effets de contagion se propagent dans les écosystèmes de prêt

L'USR et son dérivé staké wstUSR ont tous deux été approuvés comme actifs collatéraux sur des plateformes telles que Morpho et Gauntlet. Les analystes du marché ont observé que des traders opportunistes auraient pu acquérir de l'USR à son prix sévèrement réduit et l'utiliser comme effet de levier pour emprunter de l'USDC à la valorisation complète de 1 $, drainant efficacement les réserves de liquidité des coffres affectés.

La tranche d'assurance junior de Resolv, RLP, fait également face à une dépréciation potentielle du capital. Stream Finance, détenant une position substantielle de 13,6 millions de RLP d'une valeur d'environ 17 millions de dollars, pourrait transmettre des pertes supplémentaires à sa base de déposants. Stream a précédemment divulgué une perte de 93 millions de dollars en novembre 2025.

Le token de gouvernance RESOLV a baissé d'environ 8,5 % dans les 24 heures suivant la faille de sécurité.

Cet incident de Resolv illustre une tendance plus large de l'industrie. Selon un récent rapport d'Immunefi, le piratage moyen de cryptomonnaie inflige désormais des dommages d'environ 25 millions de dollars, les cinq plus grands exploits de 2024-2025 représentant 62 % du total des fonds volés.

L'article Resolv Protocol Hacked: $25 Million Drained Through USR Stablecoin Vulnerability est apparu en premier sur Blockonomi.