Una vulnerabilidad importante en el sistema de emisión de la stablecoin USR de Resolv desencadenó el hackeo de Resolv, desatando una grave disrupción del mercado en varias plataformas DeFi interconectadas.
Summary
Cómo se desarrolló la explotación de la stablecoin USR
El domingo, un atacante sofisticado apuntó a la infraestructura de emisión de USR de Resolv y generó aproximadamente 80 millones de tokens sin respaldo, drenando finalmente alrededor de $25 millones en Ether (ETH) del protocolo. La explotación subrayó cómo una sola debilidad en la lógica de emisión de una stablecoin puede desencadenar una crisis de mercado más amplia.
La actividad maliciosa comenzó alrededor de las 2:21 a.m. UTC, cuando el perpetrador depositó 100,000 USDC en el contrato USR Counter de Resolv. A cambio, el atacante recibió un anómalo 50 millones USR, aproximadamente 500 veces la cantidad legítima. Una transacción posterior produjo otros 30 millones de tokens. Juntas, estas acciones inflaron la oferta de USR sin ningún colateral correspondiente.
Tras la emisión no autorizada, el atacante intercambió sistemáticamente el USR fraudulento por USDC y USDT en múltiples intercambios descentralizados. Además, el explotador consolidó luego las ganancias en ETH. Según datos en la cadena, la billetera del atacante actualmente posee 11,409 ETH, valorados en aproximadamente $23.7 millones a los precios de mercado prevalecientes.
Despeg brutal en Curve y grandes pérdidas para los tenedores de USR
USR, diseñado para mantener una paridad de precio de $1, experimentó un colapso casi inmediato. Apenas 17 minutos después de la primera emisión anómala, el token se desplomó a $0.025 en Curve Finance. Sin embargo, el precio pronto mostró una recuperación parcial, repuntando a alrededor de $0.85, aunque permaneció profundamente despegado durante la mañana del domingo.
Resolv Labs anunció en X que había suspendido todas las operaciones del protocolo. El equipo enfatizó que el fondo de colateral «permanece completamente intacto» e insistió en que «ningún activo subyacente» fue comprometido, enmarcando el problema como «aislado a la mecánica de emisión de USR». Dicho esto, la reacción del mercado indicó que los usuarios estaban lejos de estar tranquilos.
Los analistas de blockchain rápidamente señalaron que los tenedores existentes de USR soportaron la peor parte del daño. La repentina afluencia de 80 millones de nuevos tokens diluyó masivamente la oferta circulante. Además, la venta agresiva del atacante drenó la liquidez de los fondos disponibles. Cualquier inversor que poseyera USR durante el incidente enfrentó pérdidas inmediatas y significativas en su cartera.
Compromiso de cuentas privilegiadas del protocolo y salvaguardas de emisión
Los investigadores de seguridad pronto rastrearon la explotación hasta controles de acceso críticos. El analista de seguridad de blockchain Andrew Hong identificó el origen de la brecha en una cuenta privilegiada designada como SERVICE_ROLE. Este rol altamente sensible fue supuestamente gestionado por una sola cuenta de propiedad externa, en lugar de una estructura de billetera multisignatura más segura.
El contrato de emisión de USR supuestamente carecía de protecciones clave como verificación robusta de oráculos, validación adecuada de cantidades y límites máximos de emisión. Sin embargo, esta debilidad de diseño pudo haber interactuado con una falla operativa más profunda: la exposición de credenciales privilegiadas. El incidente destacó cómo los roles de gobernanza pueden convertirse en puntos únicos de falla si no se refuerzan adecuadamente.
La firma de seguridad Pashov, que previamente auditó el módulo de staking de Resolv en julio de 2025, dijo a Cointelegraph que la causa raíz parece ser un compromiso de clave privada en lugar de un defecto en el diseño arquitectónico central. Dicho esto, la firma enfatizó que incluso los protocolos bien auditados siguen siendo vulnerables si las prácticas de gestión de claves y seguridad operativa no son estrictas.
Deddy Lavid, CEO de Cyvers, advirtió que las auditorías por sí solas no pueden proporcionar seguridad completa. «Las auditorías por sí solas no son suficientes. Si no estás monitoreando la emisión y el suministro en tiempo real, estás ciego cuando más importa,» dijo, subrayando la necesidad de un monitoreo continuo y automatizado de las acciones privilegiadas.
Auditorías extensivas, recompensas por errores y brechas en el monitoreo en tiempo real
La documentación oficial de Resolv enumera 14 compromisos de auditoría realizados por cinco firmas de seguridad separadas. El proyecto también anuncia un programa de recompensas por errores de $500,000 en Immunefi, junto con sistemas de vigilancia de contratos inteligentes en curso. Sin embargo, el ataque exitoso muestra que incluso las inversiones extensivas en seguridad pueden ser socavadas por un solo fallo operativo.
Los observadores de la industria notaron que la escala de la pérdida se alinea con tendencias más amplias. Un informe reciente de Immunefi encontró que el hackeo promedio de criptomonedas ahora causa aproximadamente $25 millones en daños. Además, las cinco mayores explotaciones durante 2024–2025 representaron el 62% del valor total robado en el sector, subrayando una concentración persistente de riesgo.
En este contexto, el hackeo de Resolv sirve como un estudio de caso en los límites de las auditorías previas al despliegue y las recompensas por errores. La vigilancia continua en la cadena, la gestión reforzada de claves y los controles estrictos sobre los roles privilegiados parecen cada vez más necesarios para prevenir incidentes similares.
Efectos de contagio en DeFi y respuestas a nivel de plataforma
La explotación se propagó rápidamente a través del ecosistema DeFi más amplio. Numerosas plataformas se movieron para evaluar y reducir su exposición a USR y activos relacionados. Además, emitieron actualizaciones públicas para limitar el pánico de los usuarios y prevenir un estrés sistémico adicional.
Lido confirmó que los fondos de los usuarios depositados en Lido Earn permanecieron seguros y no fueron afectados directamente por el incidente. Stani Kulechov, fundador de Aave, declaró que el protocolo de préstamos no tenía exposición directa a USR. También dijo que Resolv estaba reembolsando activamente la deuda pendiente, sugiriendo un esfuerzo coordinado para contener los efectos colaterales.
En el optimizador de préstamos Morpho, el cofundador Merlin Egalite aclaró que solo ciertos vaults tenían exposición a USR en lugar de toda la plataforma. Sin embargo, estos riesgos específicos aún planteaban desafíos para ciertos pools y sus proveedores de liquidez, lo que provocó rápidas revisiones de gobernanza y parámetros de riesgo.
Operaciones apalancadas y estrés en los mercados de préstamos
Tanto USR como su derivado en staking wstUSR habían sido aprobados como colateral en varios protocolos, incluidos Morpho y Gauntlet. Los analistas de mercado informaron que los traders oportunistas parecían comprar USR a precios de liquidación y luego usarlo como colateral, pidiendo prestado USDC cerca de la valoración completa de $1.
Esta estrategia creó un desajuste peligroso entre el precio de mercado y la valoración del colateral. Como resultado, los vaults afectados vieron sus reservas de stablecoin drenadas, mientras que el valor real del colateral que respaldaba esos préstamos ya había colapsado. Dicho esto, los motores de riesgo y los oráculos en algunas plataformas aún pueden ajustarse con el tiempo para mitigar el daño a largo plazo.
El token de tramo de seguro junior de Resolv, RLP, también enfrentó un posible deterioro de capital. Stream Finance, que posee alrededor de 13.6 millones de RLP valorados en aproximadamente $17 millones, podría transmitir pérdidas adicionales a su base de depositantes. Además, Stream había revelado previamente una pérdida de $93 millones en noviembre de 2025, lo que aumenta las preocupaciones sobre el riesgo compuesto para sus usuarios.
En el período inmediato posterior, el token de gobernanza RESOLV disminuyó aproximadamente un 8.5% en un período de 24 horas. La caída reflejó tanto preocupaciones directas sobre la solvencia del protocolo como dudas más amplias sobre la arquitectura de seguridad y la resiliencia operativa de la plataforma.
Implicaciones más amplias del error de emisión de USR de Resolv
El hackeo de Resolv, impulsado por la vulnerabilidad de la stablecoin USR, ilustra cómo una combinación de compromiso de cuentas privilegiadas del protocolo y monitoreo insuficiente en tiempo real puede socavar preparaciones de seguridad extensivas. Además, subraya que los eventos de despegue en los principales lugares de liquidez pueden infligir rápidamente daños colaterales en capas de préstamos, staking y seguros.
De cara al futuro, es probable que los emisores de stablecoins y los protocolos DeFi enfrenten un escrutinio renovado sobre la gestión de claves, la verificación de colaterales y la vigilancia de riesgos en la cadena. En resumen, el incidente de Resolv refuerza una dura lección para la industria: sin controles herméticos alrededor de la emisión y el acceso privilegiado, incluso los sistemas altamente auditados pueden fallar de manera catastrófica.
