Intercambio de 200,000 por casi 100 millones, las stablecoins DeFi enfrentan otro ataque

Escrito por: Eric, Foresight News

Alrededor de las 10:21 hora de Beijing de hoy, Resolv Labs, que emite la stablecoin USR utilizando una estrategia neutra Delta, fue hackeada. Una dirección que comienza con 0x04A2 acuñó 50 millones de USR del protocolo Resolv Labs utilizando 100,000 USDC.

A medida que el incidente salía a la luz, USR cayó a unos 0,25 $, y en el momento de escribir esto, se ha recuperado a unos 0,8 $. El precio del token RESOLV también experimentó una caída temporal de casi el 10 %.

Posteriormente, el pirata informático replicó el método y acuñó 30 millones de USR de nuevo utilizando 100,000 USDC. Con el desacoplamiento significativo de USR, los operadores de arbitraje actuaron rápidamente, y muchos mercados de préstamos en Morpho que admiten USR, wstUSR y otros tipos de colateral han quedado casi vacíos, mientras que Lista DAO en la cadena de BNB también ha suspendido las nuevas solicitudes de préstamo.

El impacto no se limita a estos protocolos de préstamo. En el diseño del protocolo de Resolv Labs, los usuarios también pueden acuñar un token RLP más volátil y de mayor rendimiento, pero deben asumir responsabilidades de compensación cuando el protocolo incurra en pérdidas. Actualmente, la circulación de tokens RLP es de casi 30 millones, con el mayor titular, Stream Finance, que posee más de 13 millones de RLP, lo que resulta en una exposición neta al riesgo de aproximadamente 17 millones de dólares.

De hecho, Stream Finance, que anteriormente sufrió debido al incidente de xUSD, puede ser afectado nuevamente.

Al momento de escribir esto, el hacker ha convertido USR en USDC y USDT y continúa comprando Ethereum, habiendo comprado ya más de 10,000. Con 200,000 USDC, han extraído más de 20 millones de dólares en activos, encontrando su "moneda multiplicada por cien" durante el mercado bajista.

Otra explotación debido a la "falta de rigor"

La fuerte caída del 11 de octubre del año pasado provocó que muchas stablecoins emitidas utilizando estrategias delta neutrales sufrieran pérdidas de colateral debido a ADL (desapalancamiento automático). Algunos proyectos que ejecutaron estrategias utilizando altcoins sufrieron pérdidas aún mayores o se declararon directamente en quiebra.

Los atacados Resolv Labs también emitieron USR utilizando un mecanismo similar. El proyecto anunció en abril de 2025 que había completado una ronda de semillas de 10 millones de dólares liderada por Cyber.Fund y Maven11, con la participación de Coinbase Ventures, y lanzó el token RESOLV a finales de mayo y principios de junio.

Sin embargo, la razón por la que Resolv Labs fue atacada no se debió a condiciones extremas del mercado, sino más bien a la "falta de rigor" en el diseño del mecanismo de acuñación de USR.

Actualmente, ninguna empresa de seguridad ni funcionario ha analizado las razones de este incidente de piratería. La comunidad DeFi YAM ha concluido preliminarmente a través de un análisis que el ataque probablemente fue causado por el hacker que controla el SERVICE_ROLE utilizado por el backend del protocolo para proporcionar parámetros para el contrato de acuñación.

Según el análisis de Grok, cuando los usuarios acuñan USR, inician una solicitud en la cadena y llaman a la función requestMint del contrato, con parámetros que incluyen:

_depositTokenAddress: la dirección del token depositado;

_amount: el monto depositado;

_minMintAmount: el monto mínimo esperado de USR para recibir (para evitar deslizamientos).

Después, los usuarios depositan USDC o USDT en el contrato, y el servicio de backend del proyecto SERVICE_ROLE monitorea la solicitud, utilizando el oráculo Pyth para verificar el valor de los activos depositados, y luego llama a la función completeMint o completeSwap para determinar la cantidad real de USR acuñada.

El problema radica en el hecho de que el contrato de acuñación confía completamente en el _mintAmount proporcionado por SERVICE_ROLE, creyendo que este número ha sido verificado fuera de la cadena por Pyth, por lo tanto, no se estableció ningún límite superior, ni hubo ninguna verificación de oráculo en la cadena, ejecutando directamente mint(_mintAmount).

Basándose en esto, YAM sospecha que el hacker controlaba el SERVICE_ROLE que debería haber sido controlado por el equipo del proyecto (posiblemente debido a un fallo interno del oráculo, colusión o robo de claves), estableciendo directamente el _mintAmount en 50 millones durante la acuñación, logrando el evento de ataque de acuñar 50 millones de USR con 100,000 USDC.

En última instancia, Grok concluyó que Resolv no consideró la posibilidad de que la dirección (o el contrato) utilizada para recibir las solicitudes de acuñación de usuarios pudiera estar controlada por hackers al diseñar el protocolo. Cuando se envió la solicitud de acuñar USR al contrato que finalmente acuña USR, no se estableció un monto máximo de acuñación, ni hubo una verificación secundaria utilizando un oráculo en cadena, confiando directamente en todos los parámetros proporcionados por el SERVICE_ROLE.

Las medidas de prevención también fueron inadecuadas

Además de especular sobre las razones del hackeo, YAM también señaló la preparación inadecuada del proyecto para la respuesta a crisis.

YAM declaró en X que Resolv Labs solo pausó el protocolo tres horas después del primer ataque del hacker, con aproximadamente una hora de ese retraso debido a la necesidad de recopilar cuatro firmas para la transacción de múltiples firmas. YAM cree que una pausa de emergencia solo debería requerir una firma y que la autoridad debería distribuirse tanto como sea posible entre los miembros del equipo u operadores externos de confianza, lo que aumentaría la conciencia sobre las anomalías en la cadena, mejoraría la probabilidad de una pausa rápida y cubriría mejor los diferentes husos horarios.

Aunque la sugerencia de que una sola firma podría pausar el protocolo es algo radical, requerir múltiples firmas en diferentes husos horarios para pausar el protocolo podría retrasar asuntos importantes en una emergencia. La introducción de terceros de confianza que supervisen continuamente el comportamiento en la cadena o el uso de herramientas de monitoreo con autoridad para el protocolo de pausa de emergencia son lecciones aprendidas de este incidente.

Los ataques de hackers a los protocolos DeFi ya no se limitan a las vulnerabilidades del contrato. El incidente que involucró a Resolv Labs sirve como advertencia a los equipos de proyecto: las suposiciones sobre la seguridad del protocolo no deberían confiar en ningún enlace único, y todos los procesos relacionados con parámetros deben someterse al menos a una verificación secundaria, incluidos aquellos operados por el propio equipo del proyecto.