O atacante explorou uma falha no contrato de mintagem do USR na função SERVICE_ROLE, mintando ~80 milhões de tokens não lastreados a partir de aproximadamente $200.000 USDC.
Os rendimentos convertidos para ETH; a carteira do atacante principal detém 11,409 ETH no valor de ~$23,7 milhões, além de exposição adicional ao wstUSR.
USR desvinculado para $0,025 na Curve Finance em 17 minutos; depois se recuperou parcialmente para ~$0,85, mas permanece fora do peg.
Resolv Labs imediatamente pausou todas as funções do protocolo; o pool de colaterais confirmou estar totalmente intacto, sem perda de ativos.
O token de governança da RESOLV caiu ~9%; analistas citam a falta de verificações de oráculos, limites de mintagem e monitoramento em tempo real como principais vulnerabilidades.
Resolv Labs suspendeu seu protocolo de finanças descentralizadas após uma exploração significativa no contrato de cunhagem do stablecoin USR que permitiu a um atacante inflar a oferta e extrair aproximadamente $25 milhões.
O ataque começou por volta das 2:21 a.m. UTC no domingo, quando o perpetrador depositou aproximadamente $200.000 em USDC no contrato USR Counter e recebeu cerca de 80 milhões de tokens USR — aproximadamente 500 vezes a quantidade pretendida. Uma segunda transação adicionou mais 30 milhões de tokens. A falha decorreu de um SERVICE_ROLE privilegiado controlado por uma única conta de propriedade externa que não possuía verificações de preço de oracle, validação de montante ou limites máximos de cunhagem.
USR, um stablecoin atrelado ao dólar que emprega uma estratégia de hedge delta-neutro apoiada por ETH e BTC, despencou para $0,025 em seu pool principal da Curve Finance em 17 minutos após a primeira cunhagem. O token posteriormente foi negociado em torno de $0,85, mas não restaurou completamente seu peg de $1. Resolv Labs imediatamente pausou todas as funções, afirmando em uma postagem oficial no X que o pool de colaterais “permanece totalmente intacto” com “nenhum ativo subjacente perdido” e que o problema foi “isolado à mecânica de emissão de USR.”
Estamos atualmente investigando um incidente de segurança envolvendo a cunhagem não autorizada de USR. Neste estágio: O pool de colaterais permanece totalmente intacto. Nenhum ativo subjacente foi perdido. O problema parece estar isolado à mecânica de emissão de USR. Nossa prioridade imediata é: 1)…
— Resolv Labs (@ResolvLabs) 22 de março de 2026
O atacante trocou o USR não lastreado por USDC e USDT em exchanges descentralizadas antes de converter os lucros em ETH. Dados on-chain mostram que a carteira principal (0x8ED8cF0C1c531C1b20848E78f1CB32fa5B99b81C) agora detém 11,409 ETH avaliados em aproximadamente $23,7 milhões, com uma carteira secundária retendo ~$1,1 milhão em wstUSR. Posições DeFi relacionadas, incluindo cofres curados pela Gauntlet na Morpho e a exposição líquida de $17 milhões da Stream Finance, também foram afetadas.
Pesquisadores e empresas de segurança forneceram análises. O analista on-chain Andrew Hong destacou a ausência de proteções multisig na função administrativa. A D2 Finance delineou vetores potenciais, incluindo manipulação de oracle ou signatários off-chain comprometidos. O CEO da Cyvers, Deddy Lavid, alertou: “Este é exatamente o ponto em que o risco do stablecoin se torna real. Auditorias sozinhas não são suficientes, se você não estiver monitorando a cunhagem e a oferta em tempo real, você está cego quando mais importa.”
USR do @ResolvLabs está sendo negociado a um centavo, alguém cunhou 50m USR com $100k USDC https://t.co/qc8gTLDx7w pic.twitter.com/fXtjZgxzQk
— YAM (@yieldsandmore) 22 de março de 2026
O token de governança RESOLV caiu cerca de 9% logo após o incidente. Enquanto o protocolo permanece pausado, aguardando investigação, o incidente destaca os riscos persistentes na emissão de stablecoins, mesmo enquanto o setor atrai maior atenção institucional. Usuários e provedores de liquidez são aconselhados a monitorar canais oficiais para atualizações sobre qualquer recuperação ou medidas de compensação.
Isenção de responsabilidade: Este artigo é apenas para fins informativos e não constitui aconselhamento de nenhum tipo. Os leitores devem realizar sua própria pesquisa antes de tomar quaisquer decisões.
A postagem Resolv Pauses USR Stablecoin After Attacker Mints 80 Million Unbacked Tokens apareceu primeiro no Cryptopress.