Besides the Resolv Hack, This Type of DeFi Vulnerability Has Occurred Four Times Already

marsbitPublicado a 2026-03-24Actualizado a 2026-03-24

Resumen

An attacker exploited a compromised off-chain signing key in the stablecoin protocol Resolv, minting 80 million USR tokens (pegged to USD) from a $100k–$200k USDC deposit within minutes. The stolen keys allowed unlimited minting due to a design flaw—lacking a minting cap—despite multiple audits. The attacker then converted USR to its wrapped version (wstUSR) and dumped it on DEXs, netting ~11,400 ETH (~$24M). This caused USR to depeg, trading at ~$0.25. The depeg triggered a second-phase crisis: lending markets (including Morpho and Fluid/Instadapp) using wstUSR as collateral relied on hardcoded oracles that priced it near $1 instead of its real market value. Arbitrageurs bought cheap wstUSR, used it as overvalued collateral to borrow stablecoins, and amplified losses. Fluid absorbed over $10M in bad debt; Morpho had 15 vaults exposed. This incident repeats a known DeFi pattern: similar oracle failures occurred with Usual Protocol (Jan 2025), Stream Finance (Nov 2025), and Moonwell (late 2025), where mispriced collateral led to massive bad debt. Critics highlight flawed incentives in the "curator" model (e.g., Gauntlet), where third-party vault managers prioritize high yields without adequate risk controls, and protocols outsource risk management without enforcing safeguards. The root cause is systemic: over-reliance on static oracles for volatile assets and insecure off-chain infrastructure.

On a quiet Sunday morning, someone turned $100,000 into $25 million in about 17 minutes.

The target was the yield-bearing stablecoin protocol Resolv. Before Resolv paused its contracts, its dollar-pegged stablecoin, USR, had fallen to a few cents. As of this writing, USR remains severely depegged, trading at around $0.25, down more than 70% this week.

The shockwaves extended far beyond Resolv itself. Fluid/Instadapp absorbed over $10 million in bad debt in a single day, experiencing a net outflow of over $300 million on the same day, a record single-day outflow in its history. 15 Morpho vaults were affected. Euler, Venus, Lista DAO, and Inverse Finance all subsequently suspended USR-related markets.

The mechanism that allowed this vulnerability's losses to spread—pricing a depegged stablecoin at $1 in lending markets—is not new. This has happened at least four times in the past 14 months.

How the Vulnerability Worked

USR minting followed a two-step off-chain process: Users deposited USDC via the `requestSwap` function, and a privileged off-chain signing key, `SERVICE_ROLE`, would then finalize the amount of USR to be issued via `completeSwap`.

The contract had a minimum output limit but no maximum limit. The contract executed whatever the key holder signed.

The attacker gained access to this key through Resolv's AWS Key Management Service. They submitted two USDC deposits totaling approximately $100,000 to $200,000, then used the stolen key to authorize the minting of 80 million USR in return. On-chain data shows two transactions of 50 million USR and 30 million USR, both completed within minutes.

"The Resolv USR exploit wasn't a bug—it was a feature operating as designed. That's the problem," said on-chain analyst Vadim (@zacodil).

The SERVICE_ROLE was a regular external owned address (EOA), not a multi-signature wallet. The admin key had multi-sig protection, but the minting key did not.

"Resolv underwent 18 audits," Vadim said, "One of the findings was literally named 'Missing Cap'."

The attacker exited: They first converted the minted USR to wstUSR (a staked wrapped version) to slow the market impact, then swapped it for ETH via Curve, Uniswap, and KyberSwap. The attacker's wallet holds approximately 11,400 ETH (around $24 million). The underlying ETH and BTC collateral pools supporting the entire system remained intact as the stablecoin collapsed.

How the Contagion Spread

The Resolv exploit was effectively two events stacked on top of each other. The first was the minting exploit, the second was the failure of connected lending markets.

When USR and wstUSR crashed, every lending market that accepted them as collateral faced the same problem: their oracles were still pricing wstUSR at close to $1.

Omer Goldberg, founder of risk analysis firm Chaos Labs, documented this mechanism. His key finding: "The oracle was hardcoded, so it never repriced. wstUSR was marked at $1.13, while trading on secondary markets for around $0.63."

Traders bought wstUSR cheaply on the open market, then used it as collateral on Morpho or Fluid at the oracle price of $1.13, borrowing USDC against it and walking away.

At Fluid, the team secured short-term loans to cover 100% of the bad debt and promised to make every user whole. At Morpho, co-founder Paul Frambot stated that about 15 vaults had significant exposure, all in high-risk, long-tail collateral strategies.

Prominent curator Gauntlet stated that "a few high-yield vaults had limited exposure."

But D2 Finance directly countered this, publishing on-chain data showing Gauntlet's flagship "USDC Core Vault" had allocated $4.95 million to the wstUSR/USDC market. Goldberg later stated that Gauntlet vaults constituted 98% of the lender liquidity in that market.

Frambot said in a written response to The Defiant: "We are constantly working on how to present various risks more comprehensively. However, we don't believe the core issue here is a lack of labeling."

Frambot added: "Morpho is oracle-agnostic, meaning it allows curators to choose any oracle they deem most suitable for a specific market. Morpho is open, permissionless infrastructure designed to outsource risk management to curators."

"It's difficult to enforce objectively 'correct' guardrails in all scenarios," Frambot said, "Imposing constraints at the protocol level also risks hindering legitimate strategies."

While the underlying protocol leaves risk management to curators, some in the industry believe the curators are not fulfilling their duty.

"I believe the curator industry is flawed by design because there is no real curation happening," Marc Zeller said on X.

At the time of publication, Resolv, Gauntlet, and Fluid had not responded to The Defiant's requests for comment.

A Recurring Failure Pattern

This is not a new type of attack. In January 2025, Usual Protocol's USD0++ was hardcoded at $1 by curator MEV Capital in a Morpho vault.

Usual then abruptly adjusted its redemption floor price to $0.87 without warning, locking lenders into the MEV Capital vault, whose utilization rate soared to 100%.

In November 2025, Stream Finance's xUSD collapsed after curators had routed USDC deposits into leverage loops backed by the synthetic stablecoin. When its oracle refused to update, an estimated $285 million to $700 million in assets were at risk on Morpho, Euler, and Silo.

Moonwell suffered two consecutive oracle failures in October and November 2025, resulting in over $5 million in bad debt combined.

What This Means for the Curator Model

Morpho's architecture outsources all risk decisions to third-party "curators," who build vaults, select collateral, set loan-to-value ratios, and choose oracles. The theory is that professional firms have deeper expertise, and competition leads to better risk management, with the protocol enforcing the rules.

But curators earn fees based on the yield generated, creating an incentive to accept higher-risk, higher-yielding collateral (like yield-bearing stablecoins). The problem is that when these stablecoins depeg, the losses are borne by the depositors, not the curators.

In the Resolv incident, some curators' automated bots continued pumping funds into the affected vaults for hours after the exploit, deepening the losses.

The reason for using hardcoded oracles for yield-bearing stablecoins is to prevent unnecessary liquidations triggered by short-term volatility. But this protection only works if the stablecoin remains stable.

On-chain analytics firm Chainalysis stated in a post-mortem that real-time on-chain detection capabilities are needed.

"The on-chain smart contracts were functioning perfectly. The issue clearly lay with the broader system design and off-chain infrastructure," the analytics firm said.

Preguntas relacionadas

QWhat was the core mechanism that allowed the Resolv exploit to cause widespread contagion across multiple DeFi lending markets?

AThe core mechanism was that the oracles in the lending markets continued to price the depegged stablecoin, wstUSR, at or near its intended $1 peg value, even after it had collapsed in value on the open market. This allowed attackers to buy the cheap stablecoin and use it as overvalued collateral to borrow other assets.

QHow did the attacker initially obtain the ability to mint a massive amount of USR tokens?

AThe attacker gained access to the `SERVICE_ROLE` signing key, which was an external private key (not a multi-sig) used to authorize the `completeSwap` function. This access was obtained through a compromise of Resolv's AWS Key Management Service.

QAccording to the article, this type of vulnerability has occurred at least four times in the past 14 months. Name one other protocols mentioned that suffered from a similar oracle pricing failure.

AThe article mentions that a similar failure occurred with Usual Protocol's USD0++ in January 2025 and with Stream Finance's xUSD in November 2025.

QWhat is the fundamental criticism of the 'curator model' used by protocols like Morpho, as highlighted by the Resolv incident?

AThe fundamental criticism is that the incentives for curators are misaligned. Curators earn fees based on the yield their vaults generate, which incentivizes them to accept higher-risk, higher-yielding collateral (like yield-bearing stablecoins). However, when those assets depeg and cause losses, the losses are borne by the depositors/lenders, not the curators.

QWhat did the post-incident analysis from Chainalysis identify as the root of the problem, rather than a smart contract bug?

AChainalysis stated that the problem was not a smart contract bug, as the contracts were 'functioning exactly as designed.' They identified the root of the problem as 'broader system design and off-chain infrastructure.'

Lecturas Relacionadas

Kraken Planea Futuros Perpétuos Regulados por la CFTC para Operadores Profesionales de EE.UU.

Kraken planea lanzar futuros perpetuos regulados por la CFTC para traders profesionales estadounidenses elegibles, a través de la plataforma de derivados Bitnomial que adquirió. Este producto, que no tiene fecha de vencimiento y utiliza tasas de financiación, será integrado en Kraken Pro. Los futuros perpetuos son un producto clave en el comercio global de criptoactivos, pero su oferta en EE.UU. ha sido limitada debido a restricciones regulatorias. Esta iniciativa de Kraken busca cerrar esa brecha, ofreciendo a los traders profesionales una ruta nacional regulada para acceder a un instrumento que domina el volumen en mercados internacionales. El lanzamiento podría fortalecer la posición de Kraken en el mercado de derivados de EE.UU. y, si tiene éxito, abrir la puerta a más productos similares en el entorno regulado. Los detalles clave a seguir serán los criterios de elegibilidad, los activos soportados, los términos de margen y, especialmente, la liquidez que se desarrolle en la plataforma.

bitcoinistHace 4 hora(s)

Kraken Planea Futuros Perpétuos Regulados por la CFTC para Operadores Profesionales de EE.UU.

bitcoinistHace 4 hora(s)

El debut de Warsh: ¿El presidente de la FED más conocedor del Crypto de la historia traerá sorpresas o sustos al mercado?

**Debut de Warsh: ¿Sorpresa o Susto? Un Presidente de la Fed Experto en Crypto se Estrena** Kevin Warsh, el nuevo presidente de la Reserva Federal, se enfrenta a su primera conferencia de prensa en medio de un contexto macroeconómico complejo: inflación creciente, ventas de bonos del Tesoro y presión de la Casa Blanca para bajar tasas. Su estreno es especialmente relevante para el mercado de criptoactivos, ya que Warsh es el primer presidente de la Fed en declarar inversiones indirectas sustanciales en el sector, abarcando desde L1 hasta DeFi. Su política monetaria se define por dos líneas: un tono **halcón frente a la inflación** que podría inclinarse hacia una política de tasas más restrictiva, y una **comprensión única de los activos digitales**, a los que considera un "buen policía" para la política económica, a diferencia del enfoque más defensivo de su predecesor. Para los criptomercados, su llegada implica una posible **reformulación regulatoria** (de la prevención a la integración), una **revalorización del riesgo** ligada a la trayectoria de las tasas de interés, y una **señal de legitimación** que podría atraer mayor inversión institucional a largo plazo. El resultado de su primera comparecencia puede seguir dos escenarios: una **"sorpresa"** si combina señales amistosas para crypto con un tono moderado sobre tasas, impulsando los activos de riesgo; o una **"alarma"** si enfatiza excesivamente la lucha contra la inflación y el endurecimiento monetario, lo que generaría una venta generalizada de activos riesgosos, incluyendo cripto. Aunque por ética ha vendido sus participaciones directas, la perspectiva de un regulador que comprende profundamente la tecnología subyacente podría sentar, a largo plazo, las bases para una integración más estructurada de los criptoactivos en el sistema financiero.

marsbitHace 4 hora(s)

El debut de Warsh: ¿El presidente de la FED más conocedor del Crypto de la historia traerá sorpresas o sustos al mercado?

marsbitHace 4 hora(s)

La cadena XRP Ledger lanza la nueva denominación XRPLd con la actualización de la versión 3.2.0

La versión 3.2.0 de XRP Ledger ya está disponible, introduciendo una importante mejora de infraestructura y un cambio de marca del software central, que pasa de llamarse "rippled" a "xrpld". Esta actualización se centra en optimizaciones de back-end y eficiencia, incluyendo medidas de optimización de memoria que pueden reducir hasta un 40% el uso de memoria del servidor, preparando la arquitectura para una futura escalabilidad. Las principales novedades incluyen la modificación `fixCleanup3_2_0`, que refuerza la seguridad de módulos como bóvedas de activos únicos, protocolos de préstamo y exchanges descentralizados. Se han añadido nuevas comprobaciones de invariantes para garantizar la consistencia del libro mayor. Además, las aplicaciones ahora pueden recuperar información sobre el protocolo y definiciones del servidor sin necesidad de conexión directa, facilitando el desarrollo de carteras y exploradores. En cuanto a escalabilidad y estabilidad, la actualización introduce tamaños de bloque configurables, soporte opcional de TLS/mTLS para servidores gRPC y un cambio en el puerto predeterminado para conexiones entre pares. También incluye varias correcciones para creadores de mercado automáticos, pagos y tokens de múltiples propósitos. Las invariantes de transacción se desactivaron temporalmente por rendimiento, sin comprometer la seguridad.

TheNewsCryptoHace 5 hora(s)

La cadena XRP Ledger lanza la nueva denominación XRPLd con la actualización de la versión 3.2.0

TheNewsCryptoHace 5 hora(s)

AGI no es el destino final: nuevo estudio de DeepMind afirma que el verdadero progreso de la IA apenas comienza al avanzar hacia una ASI

El documento de DeepMind plantea que la Inteligencia Artificial General (AGI) no será el punto final del desarrollo de la IA, sino un paso hacia una Inteligencia Artificial Superintendente (ASI) que supere colectivamente a los mejores equipos de expertos humanos. El informe explora cuatro posibles caminos hacia la ASI: 1) escalar recursos (cómputo, modelos, datos), 2) avances algorítmicos o nuevos paradigmas, 3) mejora recursiva automática de los sistemas, y 4) la coordinación de múltiples agentes de AGI para crear una inteligencia colectiva. También identifica cuellos de botella clave, como el límite de los datos de alta calidad generados por humanos, las presiones sobre recursos económicos y naturales, las posibles limitaciones de los paradigmas actuales de redes neuronales, la creciente dificultad de la investigación, las "barreras de abstracción" para descubrir nuevos conceptos fundamentales, y los factores de gobernanza y aceptación social. El documento destaca la necesidad urgente de desarrollar nuevos marcos de evaluación, ya que las métricas basadas en el rendimiento humano quedarán obsoletas una vez alcanzada la AGI. Finalmente, concluye que el progreso hacia la ASI es incierto y estará sujeto a restricciones físicas y prácticas, requiriendo un esfuerzo de investigación multidisciplinar global para monitorear y guiar su desarrollo.

marsbitHace 6 hora(s)

AGI no es el destino final: nuevo estudio de DeepMind afirma que el verdadero progreso de la IA apenas comienza al avanzar hacia una ASI

marsbitHace 6 hora(s)

Kraken Lanza Perpetuos Pre-IPO para OpenAI y Anthropic Con Apalancamiento Hasta 5x

Kraken ha lanzado futuros perpetuos pre-IPO sobre OpenAI y Anthropic, permitiendo a operadores elegibles tomar posiciones largas o cortas sobre estas empresas privadas de IA antes de su salida a bolsa. Los contratos ofrecen hasta 5x de apalancamiento. Esto representa una expansión de los derivados cripto hacia la exposición a mercados privados, ofreciendo una vía sintética para especular sobre empresas muy solicitadas pero de acceso tradicionalmente restringido. Sin embargo, estos productos conllevan riesgos únicos, ya que el precio subyacente se basa en valoraciones opacas del mercado privado, que dependen de rondas de financiación, transacciones secundarias y el calendario de la OPV, no de un mercado spot líquido. El apalancamiento amplifica estos riesgos. El lanzamiento muestra cómo las plataformas cripto amplían su infraestructura más allá de los tokens, convirtiéndose en centros de exposición alternativa, pero también plantea preguntas sobre protección del inversor y liquidez. En esencia, es un producto innovador pero complejo y arriesgado, que requiere una comprensión clara de lo que se está operando.

bitcoinistHace 6 hora(s)

Kraken Lanza Perpetuos Pre-IPO para OpenAI y Anthropic Con Apalancamiento Hasta 5x

bitcoinistHace 6 hora(s)

Trading

Spot
Futuros

Artículos destacados

Cómo comprar RESOLV

¡Bienvenido a HTX.com! Hemos hecho que comprar Resolv (RESOLV) sea simple y conveniente. Sigue nuestra guía paso a paso para iniciar tu viaje de criptos.Paso 1: crea tu cuenta HTXUtiliza tu correo electrónico o número de teléfono para registrarte y obtener una cuenta gratuita en HTX. Experimenta un proceso de registro sin complicaciones y desbloquea todas las funciones.Obtener mi cuentaPaso 2: ve a Comprar cripto y elige tu método de pagoTarjeta de crédito/débito: usa tu Visa o Mastercard para comprar Resolv (RESOLV) al instante.Saldo: utiliza fondos del saldo de tu cuenta HTX para tradear sin problemas.Terceros: hemos agregado métodos de pago populares como Google Pay y Apple Pay para mejorar la comodidad.P2P: tradear directamente con otros usuarios en HTX.Over-the-Counter (OTC): ofrecemos servicios personalizados y tipos de cambio competitivos para los traders.Paso 3: guarda tu Resolv (RESOLV)Después de comprar tu Resolv (RESOLV), guárdalo en tu cuenta HTX. Alternativamente, puedes enviarlo a otro lugar mediante transferencia blockchain o utilizarlo para tradear otras criptomonedas.Paso 4: tradear Resolv (RESOLV)Tradear fácilmente con Resolv (RESOLV) en HTX's mercado spot. Simplemente accede a tu cuenta, selecciona tu par de trading, ejecuta tus trades y monitorea en tiempo real. Ofrecemos una experiencia fácil de usar tanto para principiantes como para traders experimentados.

270 Vistas totalesPublicado en 2025.06.11Actualizado en 2026.06.02

Cómo comprar RESOLV

Discusiones

Bienvenido a la comunidad de HTX. Aquí puedes mantenerte informado sobre los últimos desarrollos de la plataforma y acceder a análisis profesionales del mercado. A continuación se presentan las opiniones de los usuarios sobre el precio de RESOLV (RESOLV).

活动图片

Categorías popularesright-arrow

Etiquetas Popularesright-arrow