Resolv Labs suspend son protocole après qu'une faille ayant entraîné une perte de 23 millions de dollars a provoqué le dépegage du stablecoin USR

Quelles sont les causes du piratage de Resolv Labs et du découplage de l'USR ?

L'incident a frappé la plateforme DeFi Resolv, qui propose des stratégies de rendement liées à des positions delta-neutres sur le bitcoin et l'ethereum, son stablecoin USR étant commercialisé comme un actif indexé sur le dollar et adossé à des garanties liquides. Avant la faille, la valeur totale verrouillée du protocole dépassait les 500 millions de dollars, soutenue par des audits, un programme de prime aux bogues et des intégrations de conservation.

D'après les données on-chain et les informations divulguées par le projet, le pirate a déposé environ 100 000 à 200 000 dollars en USDC dans un contrat lié à l'émission d'USR avant d'exploiter un processus de frappe en deux étapes. En manipulant les paramètres au sein du flux de requête et d'exécution, le pirate a frappé environ 80 millions d'USR — dépassant de loin le dépôt initial et créant un vaste pool de jetons non adossés.

Les analystes ont mis en évidence des faiblesses liées à un rôle de service autorisé et à des contrôles de validation insuffisants entre les étapes de frappe. Les premières évaluations suggèrent que le problème pourrait impliquer un élément hors chaîne, tel qu’un signataire compromis ou une validation backend défaillante, plutôt qu’un bug traditionnel de contrat intelligent.

Après avoir frappé les jetons, l'attaquant a rapidement converti les USR en variantes « wrapped » et les a vendus sur plusieurs bourses décentralisées, notamment Curve et Uniswap. Les prix se sont effondrés lors de la vente massive, l'USR s'échangeant à quelques centimes seulement dans certains pools. L'attaquant a extrait entre 23 et 25 millions de dollars, en grande partie convertis en Ethereum, tout en continuant à transférer des fonds entre différents portefeuilles.

L'exploitation a déclenché un dépegage rapide, l'USR chutant de 1 $ à 0,025 $ dans certains pools de liquidité avant de se redresser partiellement plus tard dans la journée. Plusieurs protocoles intégrés ont agi rapidement pour limiter l'exposition, en suspendant les marchés ou en désactivant les garanties liées aux actifs Resolv.

Resolv Labs a déclaré avoir immédiatement suspendu toutes les fonctions du protocole et étudier les options de rétablissement. L'équipe a souligné que le pool de garanties sous-jacent restait intact et qu'aucun actif de couverture n'avait été drainé, présentant la perte comme le résultat d'une émission non garantie plutôt que d'une défaillance des garanties. Il a été conseillé aux utilisateurs d'éviter toute interaction avec les actifs concernés pendant la durée de l'examen.

FAQ 🔎

• Qu'est-ce qui a provoqué le dépegage du stablecoin USR ? Une faille a permis la création de dizaines de millions de tokens USR non garantis, inondant le marché.
• Quel a été le montant des pertes liées à l'exploitation de Resolv Labs ? L'attaquant a dérobé une valeur estimée entre 23 et 25 millions de dollars.
• Les fonds des utilisateurs ou les garanties ont-ils été détournés du protocole ? Non, le pool de garanties est resté intact ; les pertes proviennent de l'émission de jetons non garantis.
• Le protocole Resolv est-il toujours opérationnel ? Non, toutes les fonctions sont suspendues pendant que l'équipe mène son enquête et travaille à la restauration du système.