Además del hackeo de Resolv, este tipo de vulnerabilidad en DeFi ya ha ocurrido cuatro veces

marsbitPublicado a 2026-03-24Actualizado a 2026-03-24

Resumen

En una tranquila mañana de domingo, un atacante convirtió aproximadamente 100.000 dólares en 25 millones en solo 17 minutos explotando una vulnerabilidad en el protocolo de stablecoin Resolv. El ataque provocó que su stablecoin USR se desplomara un 70%, cotizando a solo 0.25 dólares. El mecanismo clave fue el acceso a una clave privilegiada de firma (SERVICE_ROLE), que permitió al atacante autorizar la acuñación de 80 millones de USR sin límite máximo. Esta USR recién creada se utilizó luego como colateral en mercados de préstamos como Morpho y Fluid, donde los oráculos seguían valorándola en 1 dólar a pesar de su colapso en el mercado abierto. Esto permitió a los actores tomar préstamos muy por encima del valor real del colateral, generando millones en deuda incobrable. Este no es un incidente aislado: en los últimos 14 meses, ha ocurrido al menos cuatro veces que stablecoins desancladas se valoran a 1 dólar en protocolos de lending. El modelo de 'curators' o gestores de riesgo, que externalizan la gestión de riesgo y tienen incentivos para buscar mayores rendimientos, está bajo escrutinio. Analistas señalan que el problema no es un error de código, sino un fallo sistémico en el diseño y la infraestructura fuera de la cadena.

En una tranquila mañana de domingo, alguien convirtió 100.000 dólares en 25 millones en unos 17 minutos.

El objetivo fue el protocolo de stablecoin de rendimiento Resolv. Antes de que Resolv suspendiera sus contratos, su stablecoin vinculada al dólar, USR, había caído a centavos. Al momento de escribir este artículo, el USR aún está severamente desvinculado, cotizando a aproximadamente 0,25 dólares, con una caída de más del 70% esta semana.

El impacto fue mucho más allá del propio Resolv. Fluid/Instadapp absorbió más de 10 millones de dólares en deuda incobrable en un solo día, experimentando el mismo día una salida neta de más de 300 millones de dólares, un récord histórico de salidas diarias. 15 vaults de Morpho se vieron afectados. Euler, Venus, Lista DAO e Inverse Finance suspendieron sucesivamente los mercados relacionados con USR.

El mecanismo que permitió que esta vulnerabilidad se propagara —valorar una stablecoin desvinculada a 1 dólar en los mercados de préstamos— no es nuevo. Esto ha sucedido al menos cuatro veces en los últimos 14 meses.

Cómo funciona la vulnerabilidad

La acuñación de USR seguía un proceso de dos pasos fuera de la cadena: los usuarios depositaban USDC a través de la función `requestSwap`, y una clave de firma fuera de la cadena con privilegios, `SERVICE_ROLE` `, finalizaba la cantidad de USR a emitir mediante `completeSwap`.

El contrato tenía un límite mínimo de salida, pero no un límite máximo. El contrato ejecutaba lo que el titular de la clave firmaba.

El atacante obtuvo acceso a esta clave a través del servicio de gestión de claves AWS de Resolv. Presentaron dos depósitos de USDC, por un total de aproximadamente 100.000 a 200.000 dólares, y luego utilizaron la clave robada para autorizar la acuñación de 80 millones de USR como contrapartida. Los datos en cadena muestran dos transacciones de 50 millones de USR y 30 millones de USR, ambas completadas en minutos.

«La vulnerabilidad de Resolv USR no es un bug, es una función que funcionaba según el diseño. Ese es el problema», dijo el analista en cadena Vadim (@zacodil).

SERVICE_ROLE era una dirección de cuenta externa normal, no una multisig. La clave de administrador estaba protegida por multisig, pero la clave de acuñación no.

«Resolv fue auditado 18 veces», dijo Vadim, «y uno de los hallazgos se llamaba literalmente 'Falta de límite máximo'».

El atacante salió metódicamente: primero convirtió el USR acuñado en wstUSR (versión envuelta y apostada) para ralentizar el impacto en el mercado, y luego lo intercambió por ETH a través de Curve, Uniswap y KyberSwap. La billetera del atacante contenía unos 11.400 ETH (unos 24 millones de dólares). Los pools de garantía de ETH y BTC que respaldaban todo el sistema permanecieron intactos mientras la stablecoin colapsaba.

Cómo se propagó el contagio

La vulnerabilidad de Resolv fue en realidad dos eventos superpuestos. El primero fue la vulnerabilidad de acuñación, el segundo fue el fallo en cadena de los mercados de préstamos.

Cuando USR y wstUSR colapsaron, cada mercado de préstamos que los aceptaba como garantía enfrentó el mismo problema: sus oráculos seguían valorando wstUSR cerca de 1 dólar.

El fundador de la firma de análisis de riesgo Chaos Labs, Omer Goldberg, documentó este mecanismo. Su hallazgo central fue: «El oráculo estaba codificado de forma rígida (hardcoded), por lo que nunca se revalorizó. wstUSR estaba marcado a 1,13 dólares, mientras que en el mercado secundario se negociaba a unos 0,63 dólares».

Los traders compraban wstUSR a bajo precio en el mercado abierto, luego lo usaban como garantía en Morpho o Fluid al precio del oráculo de 1,13 dólares, tomaban prestado USDC y se iban.

En Fluid, el equipo consiguió préstamos a corto plazo para cubrir el 100% de la deuda incobrable y se comprometió a indemnizar a todos los usuarios por completo. En Morpho, el cofundador Paul Frambot dijo que alrededor de 15 vaults tenían una exposición significativa, todos en estrategias de garantía de cola larga y alto riesgo.

El conocido curator Gauntlet declaró: «La exposición en varios vaults de alto rendimiento es limitada».

Pero D2 Finance refutó directamente esta afirmación, publicando datos en cadena que mostraban que el principal «USDC Core Vault» de Gauntlet había asignado 4,95 millones de dólares al mercado wstUSR/USDC. Goldberg luego afirmó que los vaults de Gauntlet representaban el 98% de la liquidez de los prestamistas en ese mercado.

Frambot, respondiendo por escrito a The Defiant, dijo: «Siempre hemos estado trabajando en cómo presentar los riesgos de manera más completa. Sin embargo, no creemos que el problema central aquí sea la falta de etiquetado».

Frambot añadió: «Morpho es independiente del oráculo, lo que significa que permite a los curators elegir el oráculo que consideren más adecuado para un mercado específico. Morpho es una infraestructura abierta y sin permisos, cuyo diseño externaliza la gestión de riesgos a los curators».

«Es difícil imponer protecciones objetivamente 'correctas' en todos los escenarios», dijo Frambot, «y imponer restricciones a nivel de protocolo también conlleva el riesgo de obstaculizar estrategias legítimas».

Aunque el protocolo subyacente deja la gestión de riesgos a los curators, algunos en la industria creen que los curators no están cumpliendo con su deber.

«Creo que la industria de los curators está diseñada de manera defectuosa, porque en realidad no hay una verdadera curación ocurriendo», dijo Marc Zeller en X.

Al cierre de esta edición, Resolv, Gauntlet y Fluid no respondieron a las solicitudes de comentarios de The Defiant.

Un patrón de fallo recurrente

Esto no es un ataque nuevo. En enero de 2025, el USD0++ de Usual Protocol fue codificado a 1 dólar en los vaults de Morpho por el curator MEV Capital.

Usual luego ajustó repentinamente, sin previo aviso, el precio mínimo de recompra a 0,87 dólares, dejando a los prestamistas bloqueados en el vault de MEV Capital, cuya utilización se disparó al 100%.

En noviembre de 2025, el xUSD de Stream Finance colapsó después de que un curator hubiera dirigido depósitos de USDC hacia un bucle de apalancamiento respaldado por esta stablecoin sintética. Cuando su oráculo se negó a actualizarse, se estimó que entre 285 y 700 millones de dólares en activos estaban en riesgo en Morpho, Euler y Silo.

Moonwell sufrió dos fallos de oráculo consecutivos en octubre y noviembre de 2025, que generaron conjuntamente más de 5 millones de dólares en deuda incobrable.

Qué significa esto para el modelo de curator

La arquitectura de Morpho externaliza todas las decisiones de riesgo a «curators» terceros, que construyen los vaults, eligen la garantía, establecen los ratios de préstamo-valor (LTV) y seleccionan el oráculo. La teoría es que las instituciones especializadas tienen mayor experiencia, la competencia genera una mejor gestión de riesgos y el protocolo se encarga de hacer cumplir las reglas.

Pero los curators dependen de los rendimientos generados para cobrar tarifas, lo que crea un incentivo para aceptar garantías de mayor riesgo y mayor rendimiento (como stablecoins de rendimiento). El problema es que cuando estas stablecoins se desvinculan, las pérdidas las asumen los depositantes, no los curators.

En el incidente de Resolv, algunos robots automatizados de curators continuaron inyectando fondos en los vaults afectados horas después de la explotación, profundizando las pérdidas.

La razón para utilizar oráculos hardcodeados para stablecoins de rendimiento es evitar que la volatilidad a corto plazo dispare liquidaciones innecesarias. Pero esta protección solo funciona si la stablecoin se mantiene estable.

La firma de análisis en cadena Chainalysis, en un análisis posterior, dijo que se necesitan capacidades de detección en tiempo real en la cadena.

«Los contratos inteligentes en cadena funcionaban perfectamente. El problema claramente estaba en el diseño más amplio del sistema y la infraestructura fuera de la cadena», dijo la firma analítica.

Preguntas relacionadas

Q¿Cómo funcionó exactamente la vulnerabilidad en Resolv que permitió al atacante convertir 100.000 dólares en 25 millones?

AEl atacante obtuvo acceso a la clave de firma fuera de cadena `SERVICE_ROLE` a través del servicio de gestión de claves AWS de Resolv. Depositó entre 100.000 y 200.000 USDC y utilizó la clave comprometida para autorizar fraudulentamente la acuñación de 80 millones de USR, que luego cambió por ETH en varios DEXs. El contrato no tenía un límite máximo de acuñación, por lo que ejecutó cualquier cantidad que la clave firmara.

Q¿Por qué el colapso de USR afectó a otros protocolos como Morpho y Fluid, y cuál fue el mecanismo de contagio?

ALos mercados de préstamo como Morpho y Fluid aceptaban USR y wstUSR como garantía. Sus oráculos seguían valorando estos activos cerca de 1 dólar (wstUSR a 1,13 $) mientras que en el mercado secundario se comerciaban a un precio muy inferior (~0,63 $). Esto permitió a los arbitrajistas comprar el stablecoin devaluado, usarlo como garantía sobrevalorada para tomar préstamos de activos estables (como USDC) y huir, generando deuda incobrable.

QSegún el artículo, este tipo de vulnerabilidad ha ocurrido antes. ¿Puedes nombrar al menos otros dos ejemplos mencionados?

ASí, el artículo menciona al menos cuatro instancias previas: el colapso de USD0++ de Usual Protocol en enero de 2025, la caída de xUSD de Stream Finance en noviembre de 2025, y dos fallos de oráculos consecutivos en Moonwell en octubre y noviembre del mismo año.

Q¿Qué papel jugaron los 'curators' (curadores) en esta vulnerabilidad y por qué se critica su modelo de negocio?

ALos 'curators' son entidades que gestionan los riesgos en protocolos como Morpho, eligiendo colateral, ratios de préstamo y oráculos. Se critica su modelo porque sus incentivos económicos (ganar fees por el rendimiento generado) los alienta a aceptar colateral de alto riesgo y alto rendimiento, como los stablecoins de yield. Cuando estos colapsan, las pérdidas las asumen los depositantes, no los curators, creando una asimetría de riesgo.

Q¿Qué conclusión principal extrae el análisis de Chainalysis sobre la causa raíz de este incidente?

AChainalysis concluyó que 'los contratos inteligentes en cadena funcionaron perfectamente. El problema claramente estuvo en el diseño más amplio del sistema y en la infraestructura fuera de la cadena (off-chain)'. Esto señala que la falla no fue técnica en el código del contrato, sino en el diseño del sistema, los controles de acceso a las claves y la configuración de los oráculos.

Lecturas Relacionadas

LayerZero Rompe Su Silencio Sobre La Explotación Cripto De $290 Millones De KelpDAO

El exploit de 290 millones de dólares en KelpDAO fue causado por una configuración de seguridad inadecuada que utilizaba un solo validador (DVN), según LayerZero. La compañía afirmó que el ataque, atribuido preliminarmente al grupo Lazarus de Corea del Norte, no comprometió el protocolo central, sino que se aprovechó de nodos RPC manipulados para falsificar mensajes. LayerZero enfatizó que el incidente está aislado y no afecta a otros activos, criticando la configuración 1-of-1 de KelpDAO por contradecir las recomendaciones de redundancia con múltiples DVNs. Mientras tanto, Aave congeló temporalmente rsETH y WETH en varias redes por precaución, aunque confirmó que los fondos están respaldados. El mercado de criptomonedas se mantiene en 2.5 billones de dólares.

bitcoinistHace 5 min(s)

LayerZero Rompe Su Silencio Sobre La Explotación Cripto De $290 Millones De KelpDAO

bitcoinistHace 5 min(s)

La confianza de los inversores en Ozak AI sigue aumentando a pesar de la incertidumbre general en los mercados de criptomonedas

La confianza de los inversores en Ozak AI ($OZ) sigue creciendo a pesar de la incertidumbre general en los mercados de criptomonedas. El proyecto, que combina inteligencia artificial con redes de infraestructura física descentralizada (DePIN), ha recaudado más de 6 millones de dólares en su preventa, con un precio actual de 0,014 USD. Ozak AI se centra en ofrecer servicios de automatización, análisis predictivo y optimización mediante infraestructura escalable y descentralizada. Su arquitectura, utilidad tokenizada y soporte multi-cadena han atraído a inversores que buscan proyectos con utilidad real y potencial de crecimiento a largo plazo. Además, las asociaciones estratégicas con empresas como SINT, Hive Intel, Weblume, Pyth Network y Dex3 refuerzan su ecosistema y execution capacity. A pesar de la cautela en el mercado, el flujo constante de inversiones sugiere una fuerte convicción en el proyecto, posicionándolo favorablemente para su próxima fase de adopción y listados en exchanges.

TheNewsCryptoHace 24 min(s)

La confianza de los inversores en Ozak AI sigue aumentando a pesar de la incertidumbre general en los mercados de criptomonedas

TheNewsCryptoHace 24 min(s)

La Fundación Unicoin hace su debut, alineando el impacto social con el futuro de las criptomonedas responsables

La Fundación Unicoin se lanza oficialmente con el objetivo de alinear el impacto social con el futuro de las criptomonedas responsables. Con una misión centrada en "Cripto para el Bien" y la inclusión financiera global, la fundación promoverá la adopción responsable de blockchain mediante educación, transparencia y desarrollo del ecosistema. Bajo el liderazgo de Silvina Moschini y Alex Konanykhin, cofundadores de Unicoin, la fundación operará de forma independiente con gobernanza transparente y un consejo de 27 directores electos por accionistas. Más del 99% de los 4,000 accionistas aprobaron esta estructura, alineada con el marco regulatorio de la SEC. La iniciativa se enfoca en educación financiera, apoyo a emprendedores y la expansión de comunidades subrepresentadas en la economía digital, priorizando la creación de valor sobre la especulación.

TheNewsCryptoHace 1 hora(s)

La Fundación Unicoin hace su debut, alineando el impacto social con el futuro de las criptomonedas responsables

TheNewsCryptoHace 1 hora(s)

El Precio de Bitcoin Podría Sufrir Otra Caída, Pero ¿Cuál es el Pronóstico a Largo Plazo?

El precio de Bitcoin superó los $78,000 la semana pasada, generando un sentimiento alcista en el mercado. Sin embargo, el analista Behdark advierte que esta tendencia podría ser engañosa y predice una posible corrección antes de una recuperación. Según su análisis, Bitcoin estaría formando un patrón triangular o diamagnético que sugiere una caída inicial. Los niveles clave de resistencia a observar son $77,000 y $80,552, donde podrían iniciarse movimientos bajistas. En caso de corrección, los primeros soportes se ubicarían en $72,800, seguido de $67,885. Una ruptura de este último nivel podría llevar a una caída adicional del 10%, con un soporte crítico en $67,677, por encima del soporte del ciclo de $60,000. El analista sugiere que esta corrección podría ofrecer oportunidades de compra a menores precios antes de un eventual repunte.

bitcoinistHace 2 hora(s)

El Precio de Bitcoin Podría Sufrir Otra Caída, Pero ¿Cuál es el Pronóstico a Largo Plazo?

bitcoinistHace 2 hora(s)

Mercados de Predicción bajo el Sesgo

Resumen: Los mercados de predicción son erróneamente equiparados con las apuestas, pero en realidad son herramientas financieras valiosas que permiten a los individuos ejercer su autonomía, descubrir la verdad y transferir riesgos. A diferencia de los juegos de azar con expectativa negativa, estos mercados, como el póker, pueden ofrecer ganancias consistentes mediante estrategias informadas. Su valor radica en su precisión para vincular precios directamente a resultados de eventos específicos, eliminando el ruido del mercado, y en su estructura descentralizada que premia la ventaja informativa. Aunque a menudo son criticados por los medios tradicionales, que pueden tener sus propios sesgos y agendas, los mercados de predicción promueven una mayor transparencia y democratización de la información, desafiando los monopolios sobre la narrativa pública.

marsbitHace 2 hora(s)

marsbitHace 2 hora(s)

Trading

Spot

Futuros

Artículos destacados

Cómo comprar RESOLV

¡Bienvenido a HTX.com! Hemos hecho que comprar Resolv (RESOLV) sea simple y conveniente. Sigue nuestra guía paso a paso para iniciar tu viaje de criptos.Paso 1: crea tu cuenta HTXUtiliza tu correo electrónico o número de teléfono para registrarte y obtener una cuenta gratuita en HTX. Experimenta un proceso de registro sin complicaciones y desbloquea todas las funciones.Obtener mi cuentaPaso 2: ve a Comprar cripto y elige tu método de pagoTarjeta de crédito/débito: usa tu Visa o Mastercard para comprar Resolv (RESOLV) al instante.Saldo: utiliza fondos del saldo de tu cuenta HTX para tradear sin problemas.Terceros: hemos agregado métodos de pago populares como Google Pay y Apple Pay para mejorar la comodidad.P2P: tradear directamente con otros usuarios en HTX.Over-the-Counter (OTC): ofrecemos servicios personalizados y tipos de cambio competitivos para los traders.Paso 3: guarda tu Resolv (RESOLV)Después de comprar tu Resolv (RESOLV), guárdalo en tu cuenta HTX. Alternativamente, puedes enviarlo a otro lugar mediante transferencia blockchain o utilizarlo para tradear otras criptomonedas.Paso 4: tradear Resolv (RESOLV)Tradear fácilmente con Resolv (RESOLV) en HTX's mercado spot. Simplemente accede a tu cuenta, selecciona tu par de trading, ejecuta tus trades y monitorea en tiempo real. Ofrecemos una experiencia fácil de usar tanto para principiantes como para traders experimentados.

238 Vistas totalesPublicado en 2025.06.11Actualizado en 2025.06.11

Discusiones

Bienvenido a la comunidad de HTX. Aquí puedes mantenerte informado sobre los últimos desarrollos de la plataforma y acceder a análisis profesionales del mercado. A continuación se presentan las opiniones de los usuarios sobre el precio de RESOLV (RESOLV).