El protocolo de stablecoin DeFi Resolv Labs fue sorprendentemente atacado ayer (22 de marzo de 2026) con una grave vulnerabilidad. Los hackers utilizaron un costo muy bajo para acuñar decenas de millones de USR que no estaban suficientemente colateralizados, lo que provocó que el precio de USR cayera más del 70% en un corto período.
200 mil por 80 millones
Alrededor de las 10:21 a.m. hora de Beijing el 22 de marzo de 2026, el protocolo Resolv Labs fue atacado. Según los datos de monitoreo en cadena, un hacker (con dirección que comienza con 0x04A2) utilizó aproximadamente 200,000 USDC de costo para activar la vulnerabilidad de acuñación interna del protocolo, acuñando de manera desenfrenada un total de aproximadamente 80 millones de USR.
Según la investigación preliminar de la agencia de seguridad en cadena y los oficiales de Resolv, se sospecha que los atacantes infiltraron el servicio de gestión de claves AWS KMS del protocolo, logrando así controlar la "clave de firma" con los permisos más altos. Esta llave, que abre la puerta del protocolo, permitió a los hackers emitir instrucciones falsas al sistema a un costo muy bajo.
Tras obtener acceso, los hackers solo invirtieron alrededor de 200,000 USDC como gancho, y usaron los permisos para acuñar de la nada un total de hasta 80 millones de USR.
Reacción en cadena del ecosistema: el mercado de préstamos fue despojado y RLP sufrió un segundo golpe severo
Posteriormente, los atacantes rápidamente convirtieron esta gran cantidad de USR en su versión colateral wstUSR, e inundaron intercambios descentralizados como KyberSwap y Velora con ventas masivas. Los hackers convirtieron las ganancias ilícitas en más de 10,000 ETH y retiraron más de 20 millones de dólares de los 200,000 dólares, convirtiéndose en uno de los incidentes de seguridad más graves de este año.
Esta repentina presión de venta causó un impacto severo en el mercado. La stablecoin USR, que originalmente debería estar a la par con el dólar, colapsó más del 70% en pocas horas tras el ataque, con un precio que llegó a caer a alrededor de 0.20 dólares.
Con el USR desanclado de manera dramática, el mercado cayó en el caos. Los arbitrajistas y hackers actuaron rápidamente, utilizando el USR colapsado como colateral, y prestaron activos de valor en mercados de préstamos como Morpho, lo que llevó a que varios mercados fueran "despojados". Lista DAO en la cadena BNB rápidamente suspendió las solicitudes de préstamo para protegerse.
Los más afectados por este desastre son, sin duda, los poseedores de tokens RLP (Resolv Liquidity Pool). En el diseño del protocolo, RLP está destinado a absorber las ganancias de volatilidad de estrategias Delta neutrales, pero también debe asumir la compensación prioritaria en caso de daño al protocolo. Actualmente, la circulación de RLP es de aproximadamente 30 millones, con el mayor poseedor, Stream Finance, controlando casi la mitad de la participación, con una exposición al riesgo neto que alcanza los 17 millones de dólares. Para Stream Finance, que ya había sido afectado por la crisis de xUSD, esto es sin duda un golpe adicional.
Reacción en cadena del ecosistema DeFi y tratamiento posterior oficial
A raíz de este incidente, varios protocolos DeFi que colaboran estrechamente con Resolv activaron planes de emergencia. El protocolo Fluid ha anunciado la suspensión total del comercio de USR en el mercado, y protocolos como Euler, Venus Protocol y Lista DAO han suspendido las funciones de préstamo relacionadas para evitar que el pánico se propague y cause reacciones en cadena financieras más amplias.
Resolv Labs emitió un anuncio en la plataforma X poco después del incidente, reconociendo que había sido atacado y tomando las siguientes acciones:
Suspensión de funciones: se han suspendido todas las funciones del protocolo para prevenir más operaciones maliciosas.
Iniciar investigación: colaborando con expertos en seguridad para realizar una revisión y recuperación exhaustiva.
Compromiso de fondos: los acuerdos de cooperación afectados relacionados (como Fluid) indican que, si después de la investigación se confirman cuentas incobrables, se priorizará la protección de los fondos de los usuarios y se buscará una compensación total.
Fuente