Las stablecoins DeFi, que intercambian 200.000 por casi 100 millones, se enfrentan a otro ataque.

Escrito por: Eric, Noticias de Prospectiva

Hoy, alrededor de las 10:21 hora de Pekín, Resolv Labs, que emite la criptomoneda estable USR utilizando una estrategia Delta neutral, sufrió un ataque informático. Una dirección que comienza con 0x04A2 generó 50 millones de USR mediante el protocolo de Resolv Labs utilizando 100.000 USDC.

Cuando el incidente salió a la luz, las acciones de USR se desplomaron hasta situarse en torno a los 0,25 dólares, y en el momento de redactar este informe, se han recuperado hasta aproximadamente los 0,8 dólares. El precio del token RESOLV también experimentó una caída temporal de casi el 10%.

Posteriormente, el hacker replicó el método y volvió a generar 30 millones de USR utilizando 100.000 USDC. Tras la importante desvinculación de USR, los operadores de arbitraje actuaron con rapidez, y muchos mercados de préstamos en Morpho que admiten USR, wstUSR y otros tipos de garantías han quedado prácticamente vacíos, mientras que Lista DAO en la cadena BNB también ha suspendido las nuevas solicitudes de préstamos.

El impacto no se limita a estos protocolos de préstamo. En el diseño del protocolo de Resolv Labs, los usuarios también pueden acuñar un token RLP más volátil y de mayor rendimiento, pero deben asumir la responsabilidad de compensar las pérdidas sufridas por el protocolo. Actualmente, la circulación de tokens RLP ronda los 30 millones, y el mayor poseedor, Stream Finance, tiene más de 13 millones de RLP, lo que supone una exposición al riesgo neta de unos 17 millones de dólares.

De hecho, Stream Finance, que ya sufrió daños debido al incidente de xUSD, podría verse afectada de nuevo.

En el momento de redactar este informe, el hacker ha convertido USR en USDC y USDT y continúa comprando Ethereum, habiendo adquirido ya más de 10.000 unidades. Con 200.000 USDC, han extraído más de 20 millones de dólares en activos, encontrando su "moneda multiplicada por cien" durante el mercado bajista.

Otra explotación debida a la "falta de rigor".

La fuerte caída del 11 de octubre del año pasado provocó que muchas stablecoins emitidas utilizando estrategias Delta neutrales sufrieran pérdidas de garantía debido al desapalancamiento automático (ADL). Algunos proyectos que implementaron estrategias utilizando altcoins sufrieron pérdidas aún mayores o quebraron directamente.

El laboratorio Resolv Labs, que fue atacado, también emitió informes de errores de seguridad (USR) utilizando un mecanismo similar. El proyecto anunció en abril de 2025 que había completado una ronda de financiación inicial de 10 millones de dólares liderada por Cyber.Fund y Maven11, con la participación de Coinbase Ventures, y lanzó el token RESOLV entre finales de mayo y principios de junio.

Sin embargo, el motivo del ataque contra Resolv Labs no se debió a las condiciones extremas del mercado, sino más bien a la "falta de rigor" en el diseño del mecanismo de acuñación de USR.

Actualmente, ninguna empresa de seguridad ni funcionario ha analizado las razones de este incidente de piratería informática. La comunidad DeFi YAM ha llegado a la conclusión preliminar, tras un análisis, de que el ataque probablemente fue causado por el hacker que controlaba el SERVICE_ROLE utilizado por el backend del protocolo para proporcionar parámetros para el contrato de acuñación.

Según el análisis de Grok, cuando los usuarios acuñan USR, inician una solicitud en la cadena de bloques y llaman a la función requestMint del contrato, con parámetros que incluyen:

_depositTokenAddress: la dirección del token depositado;

_cantidad: la cantidad depositada;

_minMintAmount: la cantidad mínima esperada de USR a recibir (para evitar deslizamientos).

Posteriormente, los usuarios depositan USDC o USDT en el contrato, y el servicio de backend SERVICE_ROLE del proyecto supervisa la solicitud, utilizando el oráculo de Python para comprobar el valor de los activos depositados, y luego llama a la función completeMint o completeSwap para determinar la cantidad real de USR acuñados.

El problema radica en que el contrato de acuñación confía completamente en el _mintAmount proporcionado por el SERVICE_ROLE, creyendo que este número ha sido verificado fuera de la cadena por Pyth, por lo que no se estableció ningún límite superior, ni hubo ninguna verificación de oráculo en la cadena, ejecutando directamente mint(_mintAmount).

En base a esto, YAM sospecha que el hacker controló el SERVICE_ROLE que debería haber sido controlado por el equipo del proyecto (posiblemente debido a una falla interna del oráculo, colusión o robo de claves), estableciendo directamente el _mintAmount en 50 millones durante la acuñación, logrando el evento de ataque de acuñar 50 millones de USR con 100,000 USDC.

En definitiva, Grok concluyó que Resolv no tuvo en cuenta la posibilidad de que la dirección (o el contrato) utilizado para recibir las solicitudes de acuñación de usuarios pudiera ser controlada por piratas informáticos al diseñar el protocolo. Cuando se envió la solicitud para acuñar USR al contrato que finalmente acuña USR, no se estableció una cantidad máxima de acuñación, ni hubo una verificación secundaria utilizando un oráculo en la cadena, confiando directamente en todos los parámetros proporcionados por SERVICE_ROLE.

Las medidas de prevención también fueron inadecuadas.

Además de especular sobre los motivos del ataque informático, YAM también señaló la preparación insuficiente del proyecto para responder ante una crisis.

YAM declaró en X que Resolv Labs solo detuvo el protocolo tres horas después del primer ataque del hacker, y que aproximadamente una hora de ese retraso se debió a la necesidad de recopilar cuatro firmas para la transacción multifirma. YAM considera que una pausa de emergencia solo debería requerir una firma, y ​​que la autoridad debería distribuirse lo máximo posible entre los miembros del equipo o entre operadores externos de confianza, lo que aumentaría la detección de anomalías en la cadena de bloques, mejoraría la probabilidad de una pausa rápida y cubriría mejor las diferentes zonas horarias.

Si bien la sugerencia de que una sola firma podría pausar el protocolo es algo radical, requerir múltiples firmas en diferentes zonas horarias para pausarlo podría, de hecho, retrasar asuntos importantes en caso de emergencia. Introducir terceros de confianza que supervisen continuamente el comportamiento en la cadena de bloques o utilizar herramientas de supervisión con autoridad para el protocolo de pausa de emergencia son lecciones aprendidas de este incidente.

Los ataques de hackers a los protocolos DeFi ya no se limitan a las vulnerabilidades de los contratos. El incidente que involucra a Resolv Labs sirve como advertencia para los equipos de proyecto: no se debe confiar en un solo enlace para dar por sentada la seguridad del protocolo, y todos los procesos relacionados con los parámetros deben someterse al menos a una verificación secundaria, incluidos aquellos operados por el propio equipo del proyecto.