Resolv Labs afectado por un exploit que inundó el mercado con USR no respaldado, profundizando la caída de DeFi

TL;DR:
Resolv sufrió un exploit que permitió acuñar 80 millones de tokens USR sin respaldo, drenando alrededor de $23 millones en Ethereum del protocolo.
El atacante comprometió las claves privadas del sistema de gestión de claves en AWS y eludió los controles de oracle y los límites máximos de acuñación.
El token USR perdió más del 80% de su valor y al menos 15 bóvedas en Morpho con exposición al activo registraron pérdidas considerables.
El domingo 23 de marzo de 2026, Resolv sufrió uno de los exploits más significativos del año en el ecosistema DeFi. Un atacante explotó una falla en el sistema de acuñación de la stablecoin nativa del protocolo, USR, para generar 80 millones de tokens sin respaldo real. La operación les permitió drenar aproximadamente $23 millones en Ethereum antes de que el equipo pudiera suspender las funciones de acuñación y redención.
El vector de ataque no residía en la lógica delta-neutral que subyace al diseño de USR, sino en el compromiso de las claves privadas del servicio de gestión de claves alojado en Amazon Web Services. Según Chainalysis, el atacante utilizó entre $100,000 y $200,000 en colateral para generar los tokens, lo que implica una tasa de emisión fraudulenta de hasta 500 veces la cantidad legítima. El contrato de acuñación carecía de verificación de oráculos y límites máximos de emisión, lo que facilitó la operación.
Resolv: Un Impacto en Cascada que Nadie Pudo Contener
El token USR, diseñado para mantener paridad con el dólar, se desplomó a $0.02 en minutos tras la primera acuñación anómala. Aunque recuperó parcialmente terreno, continuó negociándose muy por debajo de su paridad durante horas. El token de gobernanza RESOLV cayó un 8.5% en 24 horas.
El daño se propagó rápidamente a protocolos interconectados. Morpho, que opera bajo un modelo de curaduría que gestiona bóvedas con sus propios parámetros, recibió uno de los golpes más duros. Al menos 15 bóvedas con más de $10,000 en liquidez registraron pérdidas directas por exposición a USR o activos relacionados. Los curadores Gauntlet, Re7 Labs, kpk y 9summits operaron pools con esa exposición. En algunos casos, los sistemas automatizados de provisión de liquidez permanecieron activos durante horas después del exploit, agravando el daño. Merlin Egalite, cofundador de Morpho, aclaró que los contratos del protocolo base no presentaron vulnerabilidades.
Lido confirmó que los fondos en Lido Earn no se vieron afectados. Stani Kulechov, fundador de Aave, señaló que el protocolo no tuvo exposición directa a USR. Deddy Lavid, CEO de Cyvers, hizo un comentario contundente sobre el incidente: “Si no estás monitoreando la acuñación y la oferta en tiempo real, estás ciego cuando más importa.”
El exploit de Resolv ilustra que catorce auditorías y un programa de recompensas por errores de $500,000 en Immunefi son insuficientes si la gestión operativa de claves privadas y el control sobre roles privilegiados no se mantienen al mismo estándar.