Incident de Resolv Labs
Resolv Labs a brûlé 36,73 millions d’USR piratés après qu’une compromission clé a permis à un attaquant de créer 80 millions de tokens non garantis et de liquider 24,5 millions de dollars en ETH, laissant un trou de 34 millions de dollars dans le protocole. L’équipe a utilisé une mise à niveau de contrat pour récupérer une partie du butin d’une exploitation survenue en mars, qui avait entraîné l’impression de 80 millions de tokens non garantis et causé une perte estimée à 34 millions de dollars.
Selon l’analyste on-chain Yu Jin, « il y a environ une heure, Resolv Labs a détruit 36,73 millions d’USR détenus par le hacker grâce à une mise à niveau de contrat, » après que l’attaquant ait déjà liquidé environ 34 millions d’USR pour 11 409 ETH (environ 24,48 millions de dollars), actuellement stationnés à l’adresse 0x8ED…81C.
Au total, l’équipe de Resolv a réussi à retirer environ 46 millions d’USR de l’adresse de l’attaquant, mais la valeur extraite en ETH laisse le protocole face à un impact économique réel d’environ 34 millions de dollars.
Échec critique dans le processus de création d’USR
Cet incident découle d’un échec critique dans le processus de création d’USR de Resolv, qui a permis à un seul attaquant, avec moins de 200 000 dollars de garantie initiale, de générer 80 millions d’USR non garantis et de les déverser dans des pools de liquidité DeFi. Chainalysis a décrit cela comme un cas où « un attaquant a pu créer des dizaines de millions de stablecoins non garantis de Resolv (USR) et extraire environ 23 millions de dollars de valeur, » soulignant comment une clé de service compromise dans un processus de création hors chaîne en deux étapes peut entraîner des pertes systémiques.
Dans une couverture antérieure, crypto.news a rapporté que l’USR « a perdu son ancrage après qu’un attaquant a créé des millions de tokens non garantis, » ce qui a forcé Resolv Labs à suspendre ses opérations et à déployer un plan de récupération, alors que le stablecoin s’est effondré jusqu’à 0,14 $ avant de rebondir partiellement.
Étude de cas sur le risque de gestion des clés
L’exploitation de l’USR est devenue une étude de cas sur le risque de gestion des clés dans DeFi, établissant des comparaisons avec d’autres échecs récents de stablecoins et la contagion sur le marché des prêts. Dans un post-mortem, Resolv Labs a souligné que son pool de garantie « reste intact » malgré l’impression de 80 millions d’USR provoquée par l’exploitation, même si les fournisseurs de liquidité et les utilisateurs à effet de levier à travers les protocoles intégrés ont absorbé des glissements de prix et ont été contraints de se désengager.
Une analyse antérieure de l’effondrement a montré que l’USR se négociait à un moment donné entre 0,23 $ et 0,27 $, les entreprises de données on-chain estimant les bénéfices de l’attaquant entre 23 millions et 25 millions de dollars alors que le token se détachait sur Curve et d’autres pools.
Conséquences et réflexions
La destruction partielle de 36,73 millions d’USR via une mise à niveau de contrat souligne comment les contrôles privilégiés peuvent à la fois permettre et atténuer des échecs catastrophiques dans des systèmes nominalement décentralisés. Pour les traders surveillant Resolv et son token de gouvernance RESOLV, qui avait précédemment connu des fluctuations volatiles après des cotations en bourse et des rachats, cet épisode ravive des questions de longue date sur la capacité des stablecoins générant des rendements à se développer sans introduire de points de défaillance uniques.
Comme crypto.news l’a noté dans une histoire précédente sur le dépeg de l’USR, les protocoles DeFi avec des stablecoins composables font maintenant face à une pression renouvelée pour renforcer la logique de création, faire tourner les clés et traiter l’infrastructure backend avec la même rigueur que les contrats intelligents audités.
